OpenZeppelin telah mengungkapkan bahwa mereka baru-baru ini menemukan kerentanan parah dalam kode protokol DeFi Convex Finance (CVX) yang akan menghasilkan $15 miliar jika dieksploitasi. Celah sejak itu telah ditambal oleh tim pengembangan Convex, menurut posting blog 4 April 2022 oleh tim.
Serangan Rugpull Keuangan Cembung Digagalkan
OpenZeppelin, sebuah perusahaan keamanan blockchain yang mengklaim sebagai standar untuk aplikasi blockchain yang aman, menyediakan solusi untuk membangun, mengotomatisasi dan mengoperasikan aplikasi terdesentralisasi dan banyak lagi, telah mengungkapkan bahwa mereka baru-baru ini menambal bug Convex Finance yang dapat menyebabkan penarikan karpet $ 15 miliar .
Bagi mereka yang tidak sadar, serangan tarik-menarik terjadi ketika pencipta proyek keuangan terdesentralisasi tiba-tiba mentransfer atau mencuri seluruh dana di kolam likuiditas platform dan meninggalkan proyek, sehingga merugikan investor.
Per posting blog oleh tim OpenZeppelin, kerentanan dalam kontrak pintar Convex Finance ditemukan selama latihan audit keamanan untuk pertukaran crypto Coinbase pada Desember 2021.
Convex Finance adalah platform DeFi yang meningkatkan hadiah untuk pemangku kepentingan Curve (CRV) dan penyedia likuiditas. Diluncurkan oleh pengembang anonim pada Mei 2021, Convex Finance telah berkembang menjadi proyek penting di ekosistem Curve, dengan total nilai terkunci (TVL) $15 miliar pada saat itu.
Karena Convex Finance memegang mayoritas stablecoin CRV Curve Finance yang beredar, tarikan kasar akan berdampak buruk pada anggota kedua ekosistem.
OpenZeppelin menulis:
“Sebagai bagian dari audit, Tim Riset Keamanan menemukan kerentanan yang, jika dieksploitasi oleh dua dari tiga penanda tangan dompet multi-tanda tangan (multisig) anonim, akan memberikan kontrol langsung multisig Convex atas nilai kunci Convex – kemudian sekitar $15 miliar. Dokumentasi cembung secara khusus menyatakan bahwa kontrol seperti itu tidak mungkin dilakukan.”
Dilema
Meskipun tim telah menjelaskan bahwa bug telah diperbaiki, namun mencatat bahwa fakta bahwa kerentanan hanya dapat dieksploitasi atau ditambal oleh pengembang anonim yang bertanggung jawab atas protokol membuat proses pengungkapan menjadi tugas yang sangat berat.
“Dinamika menghubungi tim anonim tentang masalah bisa menjadi kompleks. Dalam banyak kasus, kerentanan dalam perangkat lunak sumber terbuka dapat dieksploitasi oleh siapa saja yang menemukannya. Namun, dalam kasus khusus ini, kerentanan hanya dapat dieksploitasi (atau ditambal) oleh pengembang anonim Convex,” ungkap OpenZeppelin.
Tim mengatakan itu mempertimbangkan beberapa opsi tentang cara mengungkapkan kelemahan keamanan ke Convex, meskipun diyakini celah keamanan tidak sengaja dibuat, karena status anonim tim pengembang dapat membuat mereka lolos dengan serangan tarikan karpet dengan mudah jika mereka memutuskan untuk bermain kotor.
OpenZeppelin mengatakan memutuskan untuk menambahkan perusahaan hadiah bug, Immunefi ke gambar, untuk berfungsi sebagai perantara antara itu dan Convex.
Pada akhirnya, kedua belah pihak sepakat bahwa:
“Tindakan terbaik untuk dilema ini adalah memasukkan pihak-pihak lain yang diketahui publik ke multisig, membuat tarikan karpet menjadi tidak mungkin. Pada titik ini, Tim Riset Keamanan memulai komunikasi terbuka dengan Convex, memberikan detail kerentanan lengkap dan metode pengujian. Tak lama kemudian, Convex menambal kerentanan tersebut, ”kata tim tersebut.
Pada saat pers, Convex Finance (CVX) memiliki TVL $ 14.41 miliar, menurut Defi Llama, sementara harga token CVX aslinya berada di sekitar $ 36.57, seperti yang terlihat di CoinMarketCap.
Sumber: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/