Auditorská společnost OpenZeppelin právě odhalila, že objevila chybu v kódu společnosti Convex Finance (CVX), která mohla vést ke stažení 15 miliard dolarů. To bylo ve spolupráci s vývojáři projektu opraveno. Podívejme se na podrobnosti tohoto případu, který mohl způsobit katastrofu ve světě decentralizovaných financí.
Potenciální vytažení koberce se vyhnulo konvexním financím
Během bezpečnostního auditu protokolu Convex pro platformu Coinbase odhalila specializovaná společnost OpenZeppelin chybu, která mohla vést ke stažení všech prostředků na protokolu.
Připomínáme, že Convex je křivkový setrvačník (CRV). Setrvačník je protokol, který závisí na jiném protokolu, aby znásobil výnosy, které tento protokol původně nabízí. Je tedy možné uložit CRV na Convex místo na Curve, abyste získali větší zájem.
Tento případ, který dnes podrobně popsala auditorská firma, byl odhalen koncem roku 2021 a v té době ohrožoval aktiva v hodnotě 15 miliard dolarů, což byla celková hodnota zablokovaných prostředků (TVL) na projektu v té době.
Zranitelnost
Rugpull opravena v živých smlouvách @ConvexFinance 15 miliard dolarů v TVL zajištěno.
Shrnutí ve vlákně níže. Technické podrobnosti najdete na blogu https://t.co/dAkUom9qX1
– OpenZeppelin (@OpenZeppelin) 4. dubna 2022
Je to katastrofický scénář, který se mohl stát, pokud by vývojáři neměli dobré úmysly. Částky, o které šlo, tehdy představovaly přibližně 10 % TVL sítě Ethereum (ETH). Podle údajů z webu Defi Llama je to něco přes 6 % celého ekosystému DeFi.
Chyba byla v systému multisignature (multisig), pokud dva ze tří signatářů provedli určitou sérii akcí, měli přístup k prostředkům celé platformy.
Tým Convexu naštěstí neměl v úmyslu spustit stahování koberce a 14. prosince byla nasazena záplata, která tuto neúmyslnou chybu opravila a znemožnila její použití. K multisignálu byli přidáni také dva veřejně identifikovaní signatáři, aby se zvýšila úroveň důvěryhodnosti.
OpenZeppelin čelí obtížné situaci
Přestože auditorská společnost nepochybovala o poctivosti a dobré víře vývojářů, ocitla se po objevení chyby ve složité situaci. Za tímto účelem musela učinit strategická rozhodnutí, aby neohrozila finanční prostředky uživatelů.
Protože záplatu mohli nasadit pouze vývojáři projektu, zbývaly jí tři možnosti:
- Odhalit vadu přímo firmě Convex, ale to by v případě špatné pozornosti mohlo vyvolat vytažení koberce;
- Zveřejnit chybu se stejnými riziky jako při první možnosti a zároveň ohrozit pověst protokolu;
- Ujistěte se, že je tým upřímný a postupuje postupně.
Druhé řešení bylo preferované. Protože i kdyby narušení nebylo úmyslné, možnost získat 15 miliard dolarů může představovat vysoké riziko pokušení, zejména proto, že tým zakladatelů společnosti Convex je anonymní.
Společnost OpenZeppelin poté oslovila tým společnosti Immunefi, platformy pro nastavení systému odměn pro každého, kdo objeví chybu v protokolu. Společnost Convex si pronajala své služby a souhlasila s tím, že bude působit jako zprostředkovatel za účelem provedení opravy.
Případ tedy skončil dobře a dokonce vedl ke zlepšení bezpečnosti protokolu. Přesto však poskytuje zajímavé poučení, protože i když se podařilo zabránit velké katastrofě, připomíná nám, že DeFi je stále mladá a má rizika, která je třeba brát v úvahu při investiční strategii.
