Одиторската фирма OpenZeppelin току-що разкри, че е открила недостатък в кода на Convex Finance (CVX), който можеше да доведе до изтегляне на 15 млрд. долара. Оттогава това е поправено със съдействието на разработчиците на проекта. Нека разгледаме подробностите по този случай, който можеше да доведе до катастрофа в света на децентрализираните финанси.
Потенциалното изтегляне на килимчето на Convex Finance е избегнато
По време на одит на сигурността на протокола Convex за платформата Coinbase специализираната компания OpenZeppelin е открила недостатък, който е можел да доведе до изтегляне на всички средства от протокола.
Напомняме ви, че Convex е маховик с крива (CRV). Маховикът е протокол, който зависи от друг, за да умножи възвръщаемостта, която последният първоначално предлага. По този начин е възможно да депозирате CRVs на Convex, а не на Curve, за да генерирате по-голям интерес.
Случаят, описан днес подробно от одиторската фирма, е открит в края на 2021 г. и поставя под риск активи за 15 млрд. долара – общата блокирана стойност (TVL) на проекта по това време.
Уязвимостта Rugpull е отстранена в договорите на живо на @ConvexFinance 15 милиарда долара в TVL са осигурени.
Обобщение в темата по-долу. Вижте в блога за технически подробности.https://t.co/dAkUom9qX1
– OpenZeppelin (@OpenZeppelin) April 4, 2022
Това е катастрофален сценарий, който би могъл да се случи, ако разработчиците са имали лоши намерения. Всъщност заложените суми по това време представляват около 10% от TVL на мрежата Ethereum (ETH). Това е малко над 6 % от цялата екосистема DeFi, според данни от уебсайта Defi Llama.
Въпросният бъг е в системата за многостранно подписване (multisig), като ако двама от тримата подписали се извършат определена серия от действия, те имат достъп до средствата на цялата платформа.
За щастие екипът на Convex не е имал намерение да предизвиква изтегляне на килима и на 14 декември е внедрена кръпка, която коригира този непреднамерен недостатък, като го прави невъзможен за използване. Към мултисигнала бяха добавени и двама публично идентифицирани подписали се, за да се повиши нивото на доверие.
OpenZeppelin е изправен пред трудна ситуация за управление
Въпреки че одиторската компания не се е съмнявала в честността и добросъвестността на разработчиците, тя е била изправена пред сложна ситуация, когато е открила дефекта. За целта тя трябваше да направи стратегически избор, за да не изложи на риск средствата на потребителите.
Всъщност, тъй като кръпката можеше да бъде внедрена само от разработчиците на проекта, тя имаше три възможности:
- Да разкриеш дефекта директно на Convex, но това можеше да предизвика издърпване на килимчето в случай на лошо внимание;
- Да направите дефекта публичен, със същите рискове като при първата възможност, като същевременно поставите репутацията на протокола на карта;
- Уверете се, че екипът е честен и действа поетапно.
Последното беше предпочитаното решение. Защото дори нарушението да не е било умишлено, възможността да се вземат 15 млрд. долара може да представлява висок риск от изкушение, особено след като екипът на основателите на Convex е анонимен.
След това OpenZeppelin се обърна към екипа на Immunefi – платформа за създаване на система за възнаграждение за всеки, който открие грешка в даден протокол. Последният, предоставяйки услугите си на Convex, се съгласи да действа като посредник, за да извърши процеса на корекция.
Така че случаят завърши добре и дори доведе до подобряване на сигурността на протокола. Но все пак тя дава интересни поуки, тъй като, въпреки че беше избегната голяма катастрофа, тя ни напомня, че DeFi е все още млада и има рискове, които трябва да се вземат предвид в инвестиционната стратегия.
