La empresa auditora OpenZeppelin acaba de revelar que ha descubierto un fallo en el código de Convex Finance (CVX) que podría haber provocado una tirada de alfombra de 15.000 millones de dólares. Desde entonces se ha solucionado con la colaboración de los desarrolladores del proyecto. Veamos los detalles de este caso, que podría haber causado una catástrofe en el mundo de las finanzas descentralizadas.
Se evita un posible tirón de la manta en Convex Finance
Durante una auditoría de seguridad en el protocolo Convex para la plataforma Coinbase, la empresa especializada OpenZeppelin ha descubierto un fallo que podría haber provocado una retirada de todos los fondos del protocolo.
Como recordatorio, Convex es un volante curvo (CRV). Un volante es un protocolo que depende de otro, para multiplicar los rendimientos que éste ofrece inicialmente. Así, es posible depositar VCR en Convex en lugar de Curve, para generar más interés.
Este caso, detallado hoy por la empresa auditora, se descubrió a finales de 2021 y puso en riesgo 15.000 millones de dólares de activos en ese momento, el valor total bloqueado (TVL) en el proyecto en ese momento.
Vulnerabilidad de Rugpull parcheada en los contratos vivos de @ConvexFinance 15.000 millones de dólares en TVL asegurados.
Resumen en el hilo de abajo. Consulte el blog para conocer los detalles técnicos.https://t.co/dAkUom9qX1
– OpenZeppelin (@OpenZeppelin) April 4, 2022
Es un escenario de desastre que podría haber ocurrido, si los desarrolladores hubieran sido mal intencionados. De hecho, las sumas en juego representaban en ese momento alrededor del 10% del TVL de la red Ethereum (ETH). Esto supone algo más del 6% de todo el ecosistema DeFi, según los datos del sitio web Defi Llama.
El fallo en cuestión estaba en el sistema de multifirma (multisig), si dos de los tres firmantes realizaban una serie de acciones específicas, tenían acceso a todos los fondos de la plataforma.
Afortunadamente, el equipo de Convex no tenía intención de desencadenar un tirón de orejas y el 14 de diciembre se desplegó un parche para corregir este fallo involuntario haciendo imposible su uso. También se añadieron al multisig dos firmantes identificados públicamente para aumentar el nivel de confianza.
OpenZeppelin se enfrenta a una situación difícil de gestionar
Aunque la empresa auditora no dudaba de la honestidad y la buena fe de los desarrolladores, se enfrentó a una situación complicada cuando descubrió el fallo. Para ello, tuvo que tomar decisiones estratégicas para no poner en riesgo los fondos de los usuarios.
De hecho, como el parche sólo podía ser desplegado por los desarrolladores del proyecto, le quedaban tres opciones:
- Divulga el defecto directamente a Convex, pero esto podría haber provocado el tirón de la alfombra en caso de malas atenciones;
- Hacer público el fallo, con los mismos riesgos que la primera posibilidad, poniendo en juego la reputación del protocolo;
Asegúrese de que el equipo sea honesto y proceda por etapas.
Esta última fue la solución preferida. Porque aunque la infracción no fuera intencionada, tener la oportunidad de llevarse 15.000 millones de dólares puede suponer un alto riesgo de tentación, sobre todo porque el equipo fundador de Convex es anónimo.
OpenZeppelin se puso entonces en contacto con el equipo de Immunefi, una plataforma para crear un sistema de recompensas para quien descubra un fallo en un protocolo. Este último, alquilando sus servicios a Convex, aceptó actuar como intermediario para llevar a cabo el proceso de corrección.
Así que fue un caso que terminó bien e incluso llevó a una mejora en la seguridad del protocolo. Pero sigue aportando lecciones interesantes, porque aunque se evitó una catástrofe mayor, nos recuerda que el DeFi es todavía joven y tiene riesgos que deben tenerse en cuenta en la estrategia de inversión de cada uno.
