Coinbase 的安全审计公司 OpenZeppelin 在 Convex Finance 中发现了 15B 美元的 rugpull 漏洞,其匿名开发人员后来解决了该风险。这一令人惊讶的发现发生在对 Convex Finance 协议的安全审查期间。
只能从内部利用的错误OpenZeppelin 的安全研究团队在 2021 年底发现,该协议中的一个重大错误可能导致价值 15B 美元的锁定资产面临风险。调查显示,“如果 Convex 多重签名的三个签名者中的两个执行了一系列特定步骤,用户将能够访问目标池中的所有 LP 代币,从而进行一次小偷 - 从池中窃取所有资产。”
当时来自 Convex 的文件表明,其 LP 池不可能发生这样的灾难。然而,安全团队后来确定了利用这些漏洞的方法——幸运的是,Convex 在 2021 年 12 月 14 日修补了这些漏洞。
Convex Finance 是一种开源协议,其开发人员自推出以来一直保持匿名。在这种情况下,如 OpenZeppelin 所示,只有 Convex Finance 的开发人员才能真正利用这些漏洞。由于匿名的性质,有关该事件的披露变得特别复杂。
披露并发症在分析了 Convex 漏洞利用所需的代码和努力后,OpenZeppelin 断言该漏洞是无意的,并且 Convex 的开发人员是善意的参与者。
“公开披露会给 Convex 的开发人员带来不正当的激励”,并导致失去对 Convex 团队至关重要的匿名性。因此,OpenZeppelin 决定“联系漏洞赏金合作伙伴 Immunefi,了解 OpenZeppelin 和 Convex 之间的中介。”
在双方同意邀请公众知名实体进行多重签名后,使得 rugpull 成为不可能,OpenZeppelin 在团队保证不会利用漏洞的基础上向 Convex 披露了该漏洞。 Convex 很快修复了这个问题,从而终止了价值 15B 美元的 rugpull 风险。
没有评论: