Аудиторская фирма OpenZeppelin только что обнаружила дефект в коде Convex Finance (CVX), который мог привести к выводу 15 миллиардов долларов. С тех пор это было исправлено при содействии разработчиков проекта. Давайте рассмотрим детали этого дела, которое могло привести к катастрофе в мире децентрализованных финансов.
Потенциальный ковер на Convex Finance предотвращен
В ходе аудита безопасности протокола Convex для платформы Coinbase специализированная компания OpenZeppelin обнаружила изъян, который мог привести к выводу всех средств на протоколе.
Напомним, что Convex — это маховик Curve (CRV). Маховик — это протокол, который зависит от другого, чтобы умножить отдачу, которую тот изначально предлагает. Таким образом, можно размещать CRV на Convex, а не на Curve, чтобы получить больше процентов.
Этот случай, подробно описанный сегодня аудиторской фирмой, был обнаружен в конце 2021 года и поставил под угрозу активы на сумму 15 млрд долларов, что составляло на тот момент общую заблокированную стоимость (TVL) проекта.
Уязвимость
Rugpull исправлена в реальных контрактах @ConvexFinance 15 млрд долларов США в TVL обеспечены.
Резюме в теме ниже. Технические подробности смотрите в блоге.https://t.co/dAkUom9qX1
— OpenZeppelin (@OpenZeppelin) Апрель 4, 2022
Это сценарий катастрофы, которая могла бы произойти, если бы разработчики имели злой умысел. Действительно, суммы, стоявшие на кону, составляли на тот момент около 10% ТВЛ сети Ethereum (ETH). Это чуть более 6% от всей экосистемы DeFi, согласно данным с сайта Defi Llama.
Речь идет об ошибке в системе мультиподписи (multisig), если двое из трех подписантов выполняли определенную серию действий, они получали доступ ко всем средствам платформы.
К счастью, команда Convex не собиралась провоцировать ковровое покрытие, и 14 декабря был выпущен патч, исправляющий этот непреднамеренный недостаток и делающий невозможным его использование. Для повышения уровня доверия к мультисигме были также добавлены два публично идентифицированных подписанта.
OpenZeppelin сталкивается с трудной ситуацией для управления
Хотя аудиторская компания не сомневалась в честности и добросовестности разработчиков, она столкнулась с непростой ситуацией, когда обнаружила недостаток. Для этого ей пришлось сделать стратегический выбор, чтобы не подвергать риску средства пользователей.
Действительно, поскольку патч могли установить только разработчики проекта, у нее оставалось три варианта:
- Раскрыть недостаток непосредственно Convex, но это могло спровоцировать вырывание ковра в случае плохого внимания;
- Сделать недостаток публичным, с теми же рисками, что и в первом варианте, поставив на карту репутацию протокола;
- Убедитесь в честности команды и действуйте поэтапно.
Последнее решение было предпочтительным. Ведь даже если взлом не был преднамеренным, возможность получить 15 миллиардов долларов может представлять большой риск соблазна, тем более что команда основателей Convex анонимна.
Затем OpenZeppelin обратился к команде Immunefi, платформе для создания системы вознаграждений для тех, кто обнаружит ошибку в протоколе. Последняя, сдавая свои услуги в аренду Convex, согласилась выступить в качестве посредника для осуществления процесса коррекции.
Так что это дело закончилось хорошо и даже привело к улучшению безопасности протокола. Но это все равно дает интересные уроки, потому что, хотя крупной катастрофы удалось избежать, это напоминает нам, что DeFi все еще молода и имеет риски, которые необходимо учитывать в своей инвестиционной стратегии.
