كشفت OpenZeppelin أنها كشفت مؤخرًا عن ثغرة أمنية خطيرة في كود بروتوكول Convex Finance (CVX) DeFi الذي كان من شأنه أن يؤدي إلى سحب بساط بقيمة 15 مليار دولار إذا تم استغلاله. تم تصحيح الثغرة منذ ذلك الحين بواسطة فريق تطوير Convex، وفقًا لمنشور مدونة بتاريخ 4 أبريل 2022 من قبل الفريق.
تم إحباط هجوم Convex Finance Rugpull
كشفت OpenZeppelin، وهي شركة أمان blockchain تدعي أنها المعيار لتطبيقات blockchain الآمنة، وتوفر حلولًا لبناء التطبيقات اللامركزية وأتمتتها وتشغيلها والمزيد، أنها قامت مؤخرًا بتصحيح خطأ Convex Finance الذي كان من الممكن أن يؤدي إلى سحب بساط بقيمة 15 مليار دولار .
بالنسبة لأولئك الذين لا يعرفون، يحدث هجوم البساط عندما يقوم منشئ مشروع التمويل اللامركزي فجأة بتحويل أو سرقة الأموال بالكامل في مجمعات السيولة الخاصة بالمنصة ويتخلى عن المشروع، على حساب المستثمرين.
وفقًا لمنشور مدونة نشره فريق OpenZeppelin، تم اكتشاف الثغرة الأمنية في العقود الذكية Convex Finance أثناء تمرين التدقيق الأمني لبورصة العملات المشفرة Coinbase في ديسمبر 2021.
Convex Finance عبارة عن منصة DeFi تعمل على تعزيز المكافآت لمقدمي خدمات Curve (CRV) وموفري السيولة. تم إطلاق Convex Finance بواسطة مطور مجهول في مايو 2021، وقد تطور ليصبح مشروعًا بارزًا في نظام Curve البيئي، بقيمة إجمالية تبلغ 15 مليار دولار (TVL) في ذلك الوقت.
نظرًا لأن Convex Finance تمتلك غالبية عملات CRV المستقرة المتداولة من Curve Finance، فإن سحب البساط سيكون له تأثير مدمر على أعضاء كلا النظامين البيئيين.
كتب أوبن زيبلين:
"كجزء من التدقيق، كشف فريق البحث الأمني عن ثغرة أمنية، إذا تم استغلالها من قبل اثنين من ثلاثة موقعين مجهولين على المحفظة متعددة التوقيع (multisig)، فمن شأنها أن تمنح Convex multisig السيطرة المباشرة على قيمة Convex المقفلة - ثم ما يقرب من 15 مليار دولار. وذكرت الوثائق المحدبة على وجه التحديد أن مثل هذه السيطرة غير ممكنة.
معضلة
على الرغم من أن الفريق أوضح أنه تم إصلاح الخلل منذ ذلك الحين، إلا أنه يشير إلى أن حقيقة أن الثغرة الأمنية لا يمكن استغلالها أو تصحيحها إلا من قبل المطورين المجهولين المسؤولين عن البروتوكول جعلت عملية الكشف مهمة شاقة.
"يمكن أن تكون ديناميكيات الاتصال بفرق مجهولة بشأن المشكلات معقدة. في كثير من الحالات، يمكن استغلال الثغرة الأمنية في البرامج مفتوحة المصدر من قبل أي شخص يجدها. ومع ذلك، في هذه الحالة تحديدًا، لا يمكن استغلال الثغرة الأمنية (أو تصحيحها) إلا بواسطة مطوري Convex المجهولين.
يقول الفريق إنه درس عدة خيارات فيما يتعلق بكيفية الكشف عن الخلل الأمني لشركة Convex، على الرغم من أنه يعتقد أن الثغرة الأمنية لم يتم إنشاؤها عمدًا، حيث أن الحالة المجهولة لفريق التطوير يمكن أن تسمح لهم بالإفلات من هجوم سحب البساط بسهولة إذا قرروا اللعب القذرة.
تقول OpenZeppelin إنها قررت إضافة شركة مكافآت اكتشاف الأخطاء، Immunefi إلى الصورة، لتعمل كوسيط بينها وبين Convex.
وفي النهاية اتفق الطرفان على ما يلي:
"كان أفضل مسار للتعامل مع هذه المعضلة هو دمج أطراف إضافية معروفة علنًا في multisig، مما يجعل عملية سحب البساط مستحيلة. في هذه المرحلة، بدأ فريق البحث الأمني التواصل المفتوح مع شركة Convex، حيث قدم تفاصيل كاملة عن الثغرات الأمنية وطريقة الاختبار. وبعد ذلك بوقت قصير، قامت شركة Convex بتصحيح الثغرة الأمنية.
في وقت النشر، تمتلك شركة Convex Finance (CVX) قيمة TVL تبلغ 14.41 مليار دولار، وفقًا لـ Defi Llama، في حين يبلغ سعر رمز CVX الأصلي حوالي 36.57 دولارًا، كما هو موضح على CoinMarketCap.
المصدر: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/