Новости Convex Finance устранил баг, потенциально угрожавший потерей $15 млрд

Команда DeFi-проекта Convex Finance устранила уязвимость, которая позволяла реализовать схему rug pull. Баг выявили специалисты компании OpenZeppelin.

Rugpull vulnerability patched in @ConvexFinance’s live contracts. $15 billion in TVL secured.

Summary in thread below. See blog for technical details.https://t.co/dAkUom9qX1

— OpenZeppelin (@OpenZeppelin) April 4, 2022​

Эксперты проводили аудит безопасности протокола для биржи Coinbase. Они обнаружили, что двое из трех анонимных подписантов мультисиг-кошелька могли получить доступ к пулам ликвидности, выполнив определенную последовательность шагов. На тот момент TVL проекта составлял около $15 млрд.

В документации Convex Finance утверждалось, что подобный контроль невозможен. При этом использовать уязвимость для вывода средств или исправить ее могла только команда разработчиков протокола.

Специалисты OpenZeppelin посчитали наиболее вероятным непреднамеренность ошибки в коде, но полной уверенности в этом не было.

По их словам, они столкнулись с дилеммой, связанной с анонимностью команд подобных проектов:

• сообщить об уязвимости разработчикам и спровоцировать их на реализацию мошеннической схемы, в том случае, если она была задумана;
• раскрыть уязвимость публично и нанести урон репутации протокола с сопутствующими финансовыми потерями, если команда не замышляла противоправных действий.

В исследовательской фирме посчитали лучшим вариантом обратиться к баунти-платформе Immunefi в качестве посредника. Этот путь позволил получить гарантии, что баг не будет использован, и сообщить о нем разработчикам.

Команды OpenZeppelin и Convex Finance договорились включить в число подписантов мультисиг-кошелька дополнительные доверительные стороны, чтобы сделать несанкционированный вывод невозможным.

После этого исследователи передали разработчикам протокола полную информацию об уязвимости и методах тестирования.

Напомним, в 2021 году с помощью схемы rug pull злоумышленники похитили у пользователей криптовалюты на $2,8 млрд.

Новость Convex Finance устранил баг, потенциально угрожавший потерей $15 млрд на сайте CoinProject.info.