OpenZeppelin löysi 15 miljardin dollarin haavoittuvuuden Convex Financen protokollassa

OpenZeppelin löysi 15 miljardin dollarin haavoittuvuuden Convex Financen protokollassa

Rutiininomainen tietoturvatarkastus muuttui Convex Financen mahdolliseksi painajaiseksi, kun OpenZeppelinin tietoturvaryhmä löysi haavoittuvuuden Convex Financen protokollan tietoturvatarkastuksen aikana.

Jos vikaa olisi hyödynnetty, se olisi voinut mahdollisesti vaarantaa Convexin lukitun arvon, joka oli tuolloin 15 miljardia dollaria. Convexin tiimi on korjannut haavoittuvuuden nopeasti sen löydyttyä.

Haavoittuvuuden yksityiskohdat

OpenZeppelin valotti bugin löytymistä ja sen jälkeistä paikkaamista blogikirjoituksessa. Convexissa, yhdessä tunnetuimmista DeFi-protokollista, oli merkittävä bugi, joka vaaransi 15 miljardia dollaria sen lukitusta arvosta. Protokollan hallussa on valtaosa Curve Financen CRV-tokeneista. Curve on johtava stablecoinien automatisoitu markkinatakaaja, joka tarjoaa noin 1/10 hajautetun talouden likviditeetistä.

OpenZeppelinin tietoturvatutkimusryhmän löytämä bugi tarkoitti sitä, että jos kaksi tai kolme Convexin multisigin allekirjoittajaa suorittaa tietyn sarjan vaiheita, he saivat rajoittamattoman pääsyn Liquidity Provider -poletteihin, jotka on panostettu LP-tokenin ja target gauge -mittarin määrittämässä target poolissa.

Convexin dokumentaatio osoitti, että tällaisen skenaarion ei pitäisi olla mahdollinen, mutta sitä on sittemmin päivitetty. Tämä teki ratkaisusta hieman hankalan. Haavoittuvuus kuitenkin korjattiin 14. joulukuuta 2021.

Tietojen julkistamiseen liittyvät ongelmat

Bugin paljastaminen oli hieman hankalaa OpenZeppelinin tiimille. Ymmärretäänpä miksi. Asiasta tulee hieman monimutkaista, jos tiimi löytää protokollan haavoittuvuuden, jota voi hyödyntää tai korjata vain kyseisen protokollan kehittäjätiimi. Tämä haavoittuvuus on ihanteellinen esimerkki siitä, miten vääränlaiset kannustimet ja epätäydellinen tilannetieto voivat johtaa komplikaatioihin haavoittuvuuksien paljastamisessa. Curven tapauksessa haavoittuvuutta pystyivät hyödyntämään vain Convexin anonyymit kehittäjät.

OpenZeppelin oli vakuuttunut siitä, että Convexin haavoittuvuus oli tahaton, mutta ei voinut olla varma. Toinen hankaloittava tekijä oli se, että vaikka Convexin tiimi ei olisi tiennyt virheestä, paljastuminen loi Convexin kehittäjille kannustimen toimia pahantahtoisesti, kun 15 miljardia dollaria oli tarjolla. Vaikka OpenZeppelin oli valmis antamaan Convexin kehittäjille mahdollisuuden epäillä, seuraukset olivat merkittäviä, jos se osoittautuisi vääräksi.

Tietojen julkistamisen eteneminen

OpenZeppelinin huolet voitaisiin hälventää, jos Convex paljastaisi kehittäjien henkilöllisyyden. Tämä voisi kuitenkin johtaa Convexin turvallisuusongelmiin, kun kehittäjät menettäisivät anonymiteettinsä. OpenZeppelinin tiimille jäi näin ollen kolme tapaa edetä.

Haavoittuvuuden yksityiskohtien paljastaminen Convexille – Tähän liittyi jonkin verran riskejä, sillä jos haavoittuvuus olisi ollut tahallinen, paljastaminen olisi saanut kehittäjät toteuttamaan aiotun exit-huijauksen.

Haavoittuvuuden paljastaminen yhteisölle – Vaikka haavoittuvuuden paljastaminen koko yhteisölle olikin jonkin verran perusteltua, OpenZeppelinin mielestä tämä toimintatapa olisi ollut vastuuton. Toimintatapa olisi voinut johtaa kahteen mahdolliseen skenaarioon. Jos haavoittuvuus olisi paljastettu ja se olisi ollut tahallinen, kehittäjät olisivat toteuttaneet exit-huijauksen. Jos se olisi kuitenkin ollut tahaton, se olisi aiheuttanut merkittävää haittaa Convexin maineelle.

Saada vakuutukset siitä, että Convexin tiimi ei käyttäisi haavoittuvuutta hyväkseen ja paljastaisi sitä sitten – OpenZeppelin käytti tätä lähestymistapaa, ja tiimi otti yhteyttä Bug Bounty -kumppaniin Immunefiin, jotta se olisi välittäjänä Convexin ja OpenZeppelinin välillä.

Julkisesti tunnettujen henkilöiden lisääminen Convex Multisigiin

Julkisesti tunnettujen henkilöiden lisääminen Convexin multisigiin oli avainasemassa riskien vähentämisessä. OpenZeppelinin tietoturvaryhmä ja Convexin anonyymit kehittäjät olivat yhtä mieltä siitä, että julkisesti tunnettujen osapuolten lisääminen multisigiin oli paras toimintatapa, jolloin haavoittuvuuden hyödyntämistä oli mahdotonta toteuttaa. Kun OpenZeppelinin ja Convexin välille oli saatu yhteys, Convex korjasi haavoittuvuuden.


Vastuuvapauslauseke: Tämä artikkeli on tarkoitettu vain tiedotustarkoituksiin. Sitä ei tarjota tai ole tarkoitettu käytettäväksi oikeudellisena, verotuksellisena, sijoitus-, rahoitus- tai muuna neuvona.

Tämä uutinen on käännetty ja julkaistu Cryptodaily.co.uk luvalla lue tiedote
This news article has been translated and published with permission from Cryptodaily.co.uk
News source:
 https://cryptodaily.co.uk/2022/04/openzeppelin-discovers-15-billion-rug-pull-vulnerability-in-convex-finance