Новости Convex Finance устранил баг, потенциально угрожавший потерей $15 млрд

Тема в разделе "Новости криптовалют", создана пользователем CoinProject.info, 5 Апрель 2022.

Реклама
  1. CoinProject.info

    CoinProject.info Топ Мастер ПРЕМИУМ

    Сообщения:
    33,694
    Симпатии:
    41
    Пол:
    Мужской
    Сайт:
    Команда DeFi-проекта Convex Finance устранила уязвимость, которая позволяла реализовать схему rug pull. Баг выявили специалисты компании OpenZeppelin.


    Rugpull vulnerability patched in @ConvexFinance’s live contracts. $15 billion in TVL secured.

    Summary in thread below. See blog for technical details.Convex Finance устранил баг, потенциально угрожавший потерей $15 млрдhttps://t.co/dAkUom9qX1

    — OpenZeppelin (@OpenZeppelin) April 4, 2022

    Эксперты проводили аудит безопасности протокола для биржи Coinbase. Они обнаружили, что двое из трех анонимных подписантов мультисиг-кошелька могли получить доступ к пулам ликвидности, выполнив определенную последовательность шагов. На тот момент TVL проекта составлял около $15 млрд.

    В документации Convex Finance утверждалось, что подобный контроль невозможен. При этом использовать уязвимость для вывода средств или исправить ее могла только команда разработчиков протокола.

    Специалисты OpenZeppelin посчитали наиболее вероятным непреднамеренность ошибки в коде, но полной уверенности в этом не было.

    По их словам, они столкнулись с дилеммой, связанной с анонимностью команд подобных проектов:

    • сообщить об уязвимости разработчикам и спровоцировать их на реализацию мошеннической схемы, в том случае, если она была задумана;
    • раскрыть уязвимость публично и нанести урон репутации протокола с сопутствующими финансовыми потерями, если команда не замышляла противоправных действий.

    В исследовательской фирме посчитали лучшим вариантом обратиться к баунти-платформе Immunefi в качестве посредника. Этот путь позволил получить гарантии, что баг не будет использован, и сообщить о нем разработчикам.

    Команды OpenZeppelin и Convex Finance договорились включить в число подписантов мультисиг-кошелька дополнительные доверительные стороны, чтобы сделать несанкционированный вывод невозможным.

    После этого исследователи передали разработчикам протокола полную информацию об уязвимости и методах тестирования.

    Напомним, в 2021 году с помощью схемы rug pull злоумышленники похитили у пользователей криптовалюты на $2,8 млрд.

    Новость Convex Finance устранил баг, потенциально угрожавший потерей $15 млрд на сайте CoinProject.info.
     

    Понравился пост? Поделись с друзьями!

Реклама