OpenZeppelin a révélé qu'il avait récemment découvert une grave vulnérabilité dans le code du protocole DeFi Convex Finance (CVX) qui aurait entraîné une augmentation de 15 milliards de dollars en cas d'exploitation. La faille a depuis été corrigée par l'équipe de développement de Convex, selon un article de blog du 4 avril 2022 de l'équipe.
Convex Finance Rugpull Attack déjoué
OpenZeppelin, une société de sécurité blockchain qui prétend être la norme pour les applications blockchain sécurisées, fournissant des solutions pour créer, automatiser et exploiter des applications décentralisées et plus encore, a révélé qu'elle a récemment corrigé un bogue de Convex Finance qui aurait pu entraîner une traction de tapis de 15 milliards de dollars. .
Pour ceux qui ne le savent pas, une attaque de tapis se produit lorsqu'un créateur de projet de financement décentralisé transfère ou vole soudainement la totalité des fonds dans les pools de liquidités de la plateforme et abandonne le projet, au détriment des investisseurs.
Selon un article de blog de l'équipe OpenZeppelin, la vulnérabilité des contrats intelligents Convex Finance a été découverte lors d'un exercice d'audit de sécurité pour l'échange de crypto Coinbase en décembre 2021.
Convex Finance est une plate-forme DeFi qui augmente les récompenses pour les parieurs Curve (CRV) et les fournisseurs de liquidités. Lancé par un développeur anonyme en mai 2021, Convex Finance est devenu un projet notable dans l'écosystème Curve, avec 15 milliards de dollars de valeur totale verrouillée (TVL) à l'époque.
Étant donné que Convex Finance détient la majorité des pièces stables CRV de Curve Finance en circulation, une traction de tapis aurait eu un effet dévastateur sur les membres des deux écosystèmes.
OpenZeppelin a écrit :
"Dans le cadre de l'audit, l'équipe de recherche sur la sécurité a découvert une vulnérabilité qui, si elle était exploitée par deux des trois signataires anonymes du portefeuille multi-signatures (multisig), aurait donné au Convex multisig un contrôle direct sur la valeur verrouillée de Convex - alors environ 15 milliards de dollars. La documentation convexe indiquait spécifiquement qu'un tel contrôle n'était pas possible.
Le Dilemme
Bien que l'équipe ait clairement indiqué que le bogue a depuis été corrigé, elle note cependant que le fait que la vulnérabilité ne puisse être exploitée ou corrigée que par les développeurs anonymes en charge du protocole a fait du processus de divulgation une tâche herculéenne.
« La dynamique de contact avec des équipes anonymes à propos de problèmes peut être complexe. Dans de nombreux cas, une vulnérabilité dans un logiciel open source peut être exploitée par quiconque la trouve. Dans ce cas précis, cependant, la vulnérabilité ne pouvait être exploitée (ou corrigée) que par les développeurs anonymes de Convex », a révélé OpenZeppelin.
L'équipe dit qu'elle a pesé plusieurs options quant à la façon de divulguer la faille de sécurité à Convex, même si elle pensait que la faille de sécurité n'avait pas été créée intentionnellement, car le statut anonyme de l'équipe de développement pourrait leur permettre de s'en tirer facilement avec une attaque de traction de tapis. s'ils ont décidé de jouer sale.
OpenZeppelin dit qu'il a décidé d'ajouter une entreprise de primes aux bogues, Immunefi à l'image, pour servir d'intermédiaire entre elle et Convex.
En fin de compte, les deux parties ont convenu que :
«La meilleure solution à ce dilemme était d'incorporer d'autres parties publiquement connues au multisig, rendant impossible le tirage au sort. À ce stade, l'équipe de recherche sur la sécurité a entamé une communication ouverte avec Convex, fournissant des détails complets sur la vulnérabilité et une méthode de test. Peu de temps après, Convex a corrigé la vulnérabilité », a déclaré l'équipe.
Au moment de mettre sous presse, Convex Finance (CVX) a une TVL de 14.41 milliards de dollars, selon Defi Llama, tandis que le prix de son jeton CVX natif se situe autour de 36.57 $, comme on le voit sur CoinMarketCap.
Source : https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/