OpenZeppelin は、最近、Convex Finance (CVX) DeFi プロトコル コードに重大な脆弱性を発見したことを明らかにしました。この脆弱性が悪用されると、15 億ドルの被害につながる可能性があります。 Convex 開発チームによる 4 年 2022 月 XNUMX 日のブログ投稿によると、この抜け穴はその後 Convex 開発チームによって修正されました。
Convex Finance Rugpull 攻撃失敗
安全なブロックチェーン アプリケーションの標準であると主張し、分散型アプリケーションなどを構築、自動化、運用するためのソリューションを提供するブロックチェーン セキュリティ会社 OpenZeppelin は、最近、15 億ドルの不正行為につながった可能性のある Convex Finance のバグにパッチを当てたことを明らかにしました。 。
知らない人のために説明すると、ラグプル攻撃は、分散型金融プロジェクトの作成者がプラットフォームの流動性プール内の資金全体を突然転送または盗み、プロジェクトを放棄し、投資家に不利益をもたらすときに発生します。
OpenZeppelinチームのブログ投稿によると、Convex Financeスマートコントラクトの脆弱性は、2021年XNUMX月のCoinbase暗号通貨取引所のセキュリティ監査演習中に発見されました。
Convex Finance は、Curve (CRV) ステーカーと流動性プロバイダーの報酬を増やす DeFi プラットフォームです。 2021 年 15 月に匿名の開発者によって立ち上げられた Convex Finance は、Curve エコシステムの注目すべきプロジェクトに成長し、当時の総価値ロック (TVL) は XNUMX 億ドルでした。
Convex Finance は流通している Curve Finance の CRV ステーブルコインの大部分を保有しているため、ラグプルがあれば両方のエコシステムのメンバーに壊滅的な影響を与える可能性があります。
オープンツェッペリンはこう書いています。
「監査の一環として、セキュリティ調査チームは、匿名のマルチシグネチャ ウォレット (マルチシグ) 署名者 15 人のうち XNUMX 人によって悪用された場合、Convex マルチシグが Convex のロックされた価値 (つまり約 XNUMX 億ドル) を直接制御できる可能性がある脆弱性を発見しました。 Convex の文書には、そのような制御は不可能であると具体的に記載されていました。」
ジレンマ
チームはこのバグが修正されたことを明らかにしているが、この脆弱性が悪用またはパッチ適用できるのはプロトコルを担当する匿名の開発者のみであるという事実により、開示プロセスが大変な作業になったと指摘している。
「問題について匿名のチームに連絡する際のダイナミクスは複雑になる可能性があります。 多くの場合、オープンソース ソフトウェアの脆弱性は、それを見つけた人が悪用する可能性があります。 ただし、この特定の例では、この脆弱性を悪用 (またはパッチ適用) できるのは Convex の匿名開発者のみでした」と OpenZeppelin は明らかにしました。
同チームは、セキュリティの抜け穴が意図的に作られたものではないと信じていたにもかかわらず、開発チームが匿名であることでラグプル攻撃を簡単に免れてしまう可能性があるため、セキュリティ上の欠陥をどのようにConvexに開示するかについていくつかの選択肢を検討したと述べている。彼らが汚い遊びをすることに決めた場合。
OpenZeppelin は、同社と Convex の間の仲介者として機能するために、バグ報奨金会社 Immunefi をこの問題に加えることにしたと述べている。
最終的に、両当事者は次の点で合意しました。
「このジレンマに対する最善の策は、マルチシグに公に知られている関係者を追加して、ラグプルを不可能にすることでした。 この時点で、セキュリティ研究チームは Convex とのオープンなコミュニケーションを開始し、脆弱性の完全な詳細とテスト方法を提供しました。 その後間もなく、Convex は脆弱性にパッチを当てました」とチームは述べています。
デフィ・ラマ氏によると、記事執筆時点でコンベックス・ファイナンス(CVX)のTVLは14.41億36.57万ドルだが、CoinMarketCapで見られるように、ネイティブCVXトークンの価格は約XNUMXドルで推移している。
出典: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/