Convex Finance устранил баг, потенциально угрожавший потерей $15 млрд

Команда DeFi-проекта Convex Finance устранила уязвимость, которая позволяла реализовать схему rug pull. Баг выявили специалисты компании OpenZeppelin.

Эксперты проводили аудит безопасности протокола для биржи Coinbase. Они обнаружили, что двое из трех анонимных подписантов мультисиг-кошелька могли получить доступ к пулам ликвидности, выполнив определенную последовательность шагов. На тот момент TVL проекта составлял около $15 млрд.

В документации Convex Finance утверждалось, что подобный контроль невозможен. При этом использовать уязвимость для вывода средств или исправить ее могла только команда разработчиков протокола.

Специалисты OpenZeppelin посчитали наиболее вероятным непреднамеренность ошибки в коде, но полной уверенности в этом не было.

По их словам, они столкнулись с дилеммой, связанной с анонимностью команд подобных проектов:

  • сообщить об уязвимости разработчикам и спровоцировать их на реализацию мошеннической схемы, в том случае, если она была задумана;
  • раскрыть уязвимость публично и нанести урон репутации протокола с сопутствующими финансовыми потерями, если команда не замышляла противоправных действий.

В исследовательской фирме посчитали лучшим вариантом обратиться к баунти-платформе Immunefi в качестве посредника. Этот путь позволил получить гарантии, что баг не будет использован, и сообщить о нем разработчикам.

Команды OpenZeppelin и Convex Finance договорились включить в число подписантов мультисиг-кошелька дополнительные доверительные стороны, чтобы сделать несанкционированный вывод невозможным.

После этого исследователи передали разработчикам протокола полную информацию об уязвимости и методах тестирования.

Напомним, в 2021 году с помощью схемы rug pull злоумышленники похитили у пользователей криптовалюты на $2,8 млрд.

Источник: forklog.com

Оцените автора
( Пока оценок нет )
КриптоВики
Добавить комментарий