OpenZeppelin 透露,它最近發現了 Convex Finance (CVX) DeFi 協議代碼中的一個嚴重漏洞,如果被利用,將導致 15 億美元的損失。 根據該團隊 4 年 2022 月 XNUMX 日發布的部落格文章,該漏洞已被 Convex 開發團隊修復。
凸金融拉格拉攻擊被挫敗
OpenZeppelin 是一家區塊鏈安全公司,自稱是安全區塊鏈應用程式的標準,提供構建、自動化和操作去中心化應用程式等的解決方案,該公司透露,它最近修復了一個Convex Finance 漏洞,該漏洞可能導致15 億美元的損失。
對於那些不知道的人來說,當去中心化金融項目創建者突然轉移或竊取平台流動性池中的全部資金並放棄該項目時,就會發生拉動攻擊,從而損害投資者的利益。
根據 OpenZeppelin 團隊的部落格文章,Convex Finance 智慧合約中的漏洞是在 2021 年 XNUMX 月對 Coinbase 加密貨幣交易所的安全審計活動中發現的。
Convex Finance 是一個 DeFi 平台,可提高 Curve (CRV) 質押者和流動性提供者的獎勵。 Convex Finance 由一位匿名開發者於 2021 年 15 月推出,現已發展成為 Curve 生態系統中的一個著名項目,當時鎖定的總價值 (TVL) 為 XNUMX 億美元。
由於 Convex Finance 持有 Curve Finance 流通中的大部分 CRV 穩定幣,因此地毯拉動將對兩個生態系統的成員產生毀滅性影響。
OpenZeppelin 寫道:
「作為審計的一部分,安全研究團隊發現了一個漏洞,如果三個匿名多重簽名錢包(multisig) 簽署者中的兩個利用該漏洞,Convex 多重簽名將直接控制Convex 的鎖定價值,即約15 億美元。 凸文檔明確指出這種控制是不可能的。”
的困境
儘管該團隊明確表示該錯誤已被修復,但它指出,該漏洞只能由負責該協議的匿名開發人員利用或修補,這使得披露過程成為一項艱鉅的任務。
「就問題聯繫匿名團隊的動態可能很複雜。 在許多情況下,任何發現開源軟體中的漏洞的人都可以利用該漏洞。 然而,在這種特定情況下,該漏洞只能由 Convex 的匿名開發人員利用(或修補)。」OpenZeppelin 透露。
團隊表示,他們權衡瞭如何向 Convex 披露安全漏洞的多種選擇,儘管他們認為安全漏洞不是故意製造的,因為開發團隊的匿名身份可以讓他們輕鬆地進行拉扯攻擊如果他們決定玩骯髒的遊戲。
OpenZeppelin 表示,它決定增加一家漏洞賞金公司 Immunefi,作為它和 Convex 之間的中介。
最終,雙方一致認為:
「解決這一困境的最佳行動方案是將更多的公眾知道的參與者納入多重簽名,從而使地毯式拉動變得不可能。 此時,安全研究團隊開始與Convex進行公開溝通,提供完整的漏洞詳細資訊和測試方法。 此後不久,Convex 修復了該漏洞。」該團隊表示。
據 Defi Llama 稱,截至發稿時,Convex Finance (CVX) 的 TVL 為 14.41 億美元,而 CoinMarketCap 上顯示,其原生 CVX 代幣的價格約為 36.57 美元。
資料來源:https://crypto.news/openzeppelin-convex-protocol-pottial-15-billion-rug-pull/