OpenZeppelin ha revelado que recientemente descubrió una vulnerabilidad grave en el código del protocolo DeFi de Convex Finance (CVX) que, de haber sido explotada, habría generado una pérdida de $15 mil millones. Desde entonces, el equipo de desarrollo de Convex ha reparado la laguna, según una publicación de blog del equipo del 4 de abril de 2022.
Convex Finance Rugpull Attack frustrado
OpenZeppelin, una empresa de seguridad de cadenas de bloques que afirma ser el estándar para aplicaciones seguras de cadenas de bloques, brindando soluciones para crear, automatizar y operar aplicaciones descentralizadas y más, reveló que recientemente corrigió un error de Convex Finance que podría haber llevado a una recaudación de fondos de $ 15 mil millones. .
Para aquellos que no lo saben, se produce un ataque de alfombra cuando un creador de proyectos de finanzas descentralizadas transfiere o roba repentinamente todos los fondos en los fondos de liquidez de la plataforma y abandona el proyecto, en detrimento de los inversores.
Según una publicación de blog del equipo de OpenZeppelin, la vulnerabilidad en los contratos inteligentes de Convex Finance se descubrió durante un ejercicio de auditoría de seguridad para el intercambio de criptomonedas Coinbase en diciembre de 2021.
Convex Finance es una plataforma DeFi que aumenta las recompensas para los participantes de Curve (CRV) y los proveedores de liquidez. Lanzado por un desarrollador anónimo en mayo de 2021, Convex Finance ha crecido hasta convertirse en un proyecto notable en el ecosistema de Curve, con $ 15 mil millones en valor total bloqueado (TVL) en ese momento.
Dado que Convex Finance posee la mayoría de las monedas estables CRV de Curve Finance en circulación, un tirón de alfombra habría tenido un efecto devastador en los miembros de ambos ecosistemas.
OpenZeppelin escribió:
“Como parte de la auditoría, el equipo de investigación de seguridad descubrió una vulnerabilidad que, si fuera explotada por dos de los tres firmantes anónimos de billetera multifirma (multisig), le habría dado a Convex multisig el control directo sobre el valor bloqueado de Convex: aproximadamente $ 15 mil millones. La documentación convexa indicaba específicamente que tal control no era posible”.
The Dilemma
Aunque el equipo dejó en claro que el error ya se solucionó, sin embargo, señala que el hecho de que la vulnerabilidad solo pudiera ser explotada o reparada por los desarrolladores anónimos a cargo del protocolo hizo que el proceso de divulgación fuera una tarea hercúlea.
“La dinámica de contactar equipos anónimos sobre problemas puede ser compleja. En muchos casos, una vulnerabilidad en el software de código abierto puede ser explotada por cualquiera que la encuentre. Sin embargo, en este caso específico, la vulnerabilidad solo podría ser explotada (o reparada) por los desarrolladores anónimos de Convex”, reveló OpenZeppelin.
El equipo dice que sopesó varias opciones sobre cómo revelar la falla de seguridad a Convex, a pesar de que creía que la laguna de seguridad no se creó intencionalmente, ya que el estado anónimo del equipo de desarrollo podría permitirles salirse con la suya fácilmente con un ataque de alfombra. si decidieran jugar sucio.
OpenZeppelin dice que decidió agregar una empresa de recompensas por errores, Immunefi, para que funcione como intermediario entre ella y Convex.
Al final, ambas partes acordaron que:
“El mejor curso de acción para este dilema fue incorporar partes adicionales conocidas públicamente al multisig, haciendo imposible un tirón de alfombra. En este punto, el equipo de investigación de seguridad inició una comunicación abierta con Convex, brindando detalles completos de la vulnerabilidad y un método de prueba. Poco después, Convex reparó la vulnerabilidad”, afirmó el equipo.
En el momento de la publicación, Convex Finance (CVX) tiene un TVL de USD 14.41 millones, según Defi Llama, mientras que el precio de su token CVX nativo ronda los USD 36.57, como se ve en CoinMarketCap.
Fuente: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/