คริปโต

OpenZeppelin ทำลายศักยภาพของ Convex Protocol ที่ดึงพรมมูลค่า 15 พันล้านดอลลาร์ – crypto.news

04/05/2022
ข่าว Bitcoin Ethereum

OpenZeppelin เปิดเผยว่าเพิ่งค้นพบช่องโหว่ร้ายแรงในรหัสโปรโตคอล Convex Finance (CVX) DeFi ซึ่งจะนำไปสู่การดึงพรมมูลค่า 15 พันล้านดอลลาร์หากถูกโจมตี ช่องโหว่ดังกล่าวได้รับการแก้ไขโดยทีมพัฒนา Convex ตามการโพสต์บล็อกของทีมเมื่อวันที่ 4 เมษายน 2022

นูนการเงิน Rugpull โจมตีแพ้รู้ 

OpenZeppelin บริษัทรักษาความปลอดภัยบล็อกเชนที่อ้างว่าเป็นมาตรฐานสำหรับแอปพลิเคชันบล็อกเชนที่ปลอดภัย โดยให้บริการโซลูชั่นในการสร้าง ทำให้เป็นอัตโนมัติ และใช้งานแอปพลิเคชันแบบกระจายศูนย์ และอื่นๆ ได้เปิดเผยว่าเพิ่งแก้ไขจุดบกพร่อง Convex Finance ที่อาจนำไปสู่การดึงพรมมูลค่า 15 พันล้านดอลลาร์ .

สำหรับผู้ที่ไม่รู้ตัว การโจมตีแบบดึงพรมจะเกิดขึ้นเมื่อผู้สร้างโครงการการเงินแบบกระจายอำนาจอย่างกะทันหันโอนหรือขโมยเงินทั้งหมดในกลุ่มสภาพคล่องของแพลตฟอร์มและละทิ้งโครงการไปสู่ความเสียหายของนักลงทุน

ตามบล็อกโพสต์โดยทีม OpenZeppelin ช่องโหว่ในสัญญาอัจฉริยะ Convex Finance ถูกค้นพบในระหว่างการทดสอบการตรวจสอบความปลอดภัยสำหรับการแลกเปลี่ยน crypto ของ Coinbase ในเดือนธันวาคม 2021

Convex Finance เป็นแพลตฟอร์ม DeFi ที่เพิ่มรางวัลให้กับผู้เดิมพันและผู้ให้บริการสภาพคล่อง Curve (CRV) Convex Finance เปิดตัวโดยนักพัฒนาที่ไม่ระบุชื่อในเดือนพฤษภาคม 2021 และเติบโตขึ้นจนกลายเป็นโครงการที่โดดเด่นในระบบนิเวศของ Curve โดยมีมูลค่ารวม 15 พันล้านดอลลาร์ในขณะนั้น (TVL)

เนื่องจาก Convex Finance ถือครองส่วนใหญ่ของ CRV Stablecoins ของ Curve Finance ในการหมุนเวียน การดึงพรมจะส่งผลร้ายแรงต่อสมาชิกของระบบนิเวศทั้งสอง 

OpenZeppelin เขียนว่า:

“ในฐานะส่วนหนึ่งของการตรวจสอบ ทีมวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ที่หากถูกโจมตีโดยผู้ลงนาม multi-signature wallet (multisig) ที่ไม่ระบุชื่อสองในสามคน จะทำให้ Convex multisig ควบคุมค่าล็อคของ Convex ได้โดยตรง จากนั้นประมาณ 15 พันล้านดอลลาร์ เอกสารนูนระบุว่าการควบคุมดังกล่าวเป็นไปไม่ได้โดยเฉพาะ”

Dilemma 

แม้ว่าทีมงานได้ชี้แจงอย่างชัดเจนว่าจุดบกพร่องนั้นได้รับการแก้ไขแล้ว แต่อย่างไรก็ตาม ข้อสังเกตว่าช่องโหว่นี้สามารถใช้ประโยชน์หรือแก้ไขได้โดยผู้พัฒนาที่ไม่ระบุชื่อซึ่งรับผิดชอบโปรโตคอลเท่านั้น ทำให้กระบวนการเปิดเผยข้อมูลเป็นงานที่ยากลำบาก

“การเปลี่ยนแปลงในการติดต่อทีมที่ไม่ระบุชื่อเกี่ยวกับปัญหาอาจซับซ้อน ในหลายกรณี ใครก็ตามที่ค้นพบช่องโหว่ในซอฟต์แวร์โอเพนซอร์สสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ อย่างไรก็ตาม ในกรณีเฉพาะนี้ ช่องโหว่เท่านั้นที่สามารถใช้ประโยชน์ (หรือแก้ไข) โดยนักพัฒนาที่ไม่ระบุนามของ Convex” OpenZeppelin เปิดเผย

ทีมกล่าวว่ามีตัวเลือกมากมายในการเปิดเผยข้อบกพร่องด้านความปลอดภัยให้กับ Convex แม้ว่าจะเชื่อว่าช่องโหว่ด้านความปลอดภัยไม่ได้ถูกสร้างขึ้นโดยเจตนา เนื่องจากสถานะที่ไม่ระบุตัวตนของทีม dev ทำให้พวกเขาสามารถหลบหนีจากการโจมตีแบบดึงพรมได้อย่างง่ายดาย ถ้าพวกเขาตัดสินใจที่จะเล่นสกปรก

OpenZeppelin กล่าวว่าได้ตัดสินใจเพิ่มบริษัทรับบัก Immunefi ให้กับรูปภาพ เพื่อทำหน้าที่เป็นสื่อกลางระหว่างมันกับ Convex

ในที่สุดทั้งสองฝ่ายตกลงกันว่า:

"แนวทางปฏิบัติที่ดีที่สุดสำหรับภาวะที่กลืนไม่เข้าคายไม่ออกนี้คือการรวมบุคคลที่เป็นที่รู้จักในที่สาธารณะเพิ่มเติมเข้ากับ multisig ทำให้ไม่สามารถดึงพรมได้ ณ จุดนี้ ทีมวิจัยด้านความปลอดภัยได้เริ่มการสื่อสารแบบเปิดกับ Convex โดยให้รายละเอียดช่องโหว่ทั้งหมดและวิธีการทดสอบ หลังจากนั้นไม่นาน Convex ก็แก้ไขช่องโหว่นี้” ทีมงานกล่าว

ณ เวลาปัจจุบัน Convex Finance (CVX) มี TVL อยู่ที่ 14.41 พันล้านดอลลาร์ ตามข้อมูลของ Defi Llama ในขณะที่ราคาของโทเค็น CVX ดั้งเดิมอยู่ที่ 36.57 ดอลลาร์ ดังที่เห็นใน CoinMarketCap

ที่มา: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/