由於OpenZeppelin 的安全團隊在對Convex Finance 協議進行安全審查期間發現了一個漏洞,因此例行安全審計變成了Convex Finance 的潛在噩夢。
如果該漏洞被利用,可能會使Convex 的鎖定價值(當時150 億美元)處於危險之中,從而使瀏覽器可以直接控制它。有趣的是,Convex 的文檔指出,不可能對其鎖定值進行如此程度的控制。自發現以來,Convex 團隊一直在迅速修補漏洞。
錯誤的詳細信息
OpenZeppelin 在一篇博文中闡明了該錯誤的發現和隨後的修補程序。 Convex 是最著名的DeFi 協議之一,它存在一個重大漏洞,使其150 億美元的鎖定價值面臨風險。該協議持有Curve Finance 的大部分CRV 代幣。 Curve 是領先的穩定幣自動化做市商,提供去中心化經濟流動性的約1/10。
OpenZeppelin 的安全研究團隊發現的漏洞意味著,如果Convex 的多重簽名的兩個或三個簽名者執行一系列特定步驟,他們就可以不受限制地訪問已質押在LP 代幣和目標計量器配置的目標礦池中的流動性提供者代幣。
Convex 的文檔顯示,這種情況應該是不可能的,但已經更新了。這使得決議有點棘手。但是,該漏洞已於2021 年12 月14 日修復。你可以在此處了解有關如何利用該漏洞的更多信息。
披露並發症
我們提到這個漏洞的披露對於OpenZeppelin 的團隊來說有點棘手。讓我們明白為什麼。如果一個團隊發現一個協議漏洞只能被相關協議的開發團隊利用或修補,這會變得稍微複雜一些。這個漏洞提供了一個理想的窗口,讓我們了解在披露漏洞時,錯位的激勵措施和不完善的情境知識如何導致複雜化。在Curve 的情況下,該漏洞只能被Convex 的匿名開發人員利用。
OpenZeppelin 確信Convex 上的漏洞是無意的,但他們無法確定。另一個複雜的層面是,即使Convex 團隊不知道這個錯誤,披露也會激勵Convex 上的開發人員採取惡意行為,並獲得150 億美元的資金。雖然OpenZeppelin 願意讓Convex 開發人員從懷疑中受益,但如果被證明是錯誤的,其影響將是巨大的。
披露的前進方向
如果Convex 透露開發人員的身份,OpenZeppelin 的擔憂可能會被打消。但是,這可能會導致Convex 的安全問題,開發人員會失去匿名性。 OpenZeppelin 的團隊因此留下了三種前進的道路。
向Convex 披露漏洞細節– 這帶來了一些風險,就好像漏洞是故意的,披露會促使開發人員執行他們預期的地毯拉動。向社區披露漏洞——雖然有一些觀點支持向整個社區披露漏洞,但OpenZeppelin 認為這種做法是不負責任的。這一行動過程可能會出現兩種可能的情況。如果漏洞被披露並且是故意的,開發人員將執行他們的地毯拉動。但是,如果是無意的,將對Convex 的聲譽造成重大損害。確保Convex 團隊不會利用該漏洞然後披露– 這是OpenZeppelin 採取的方法,該團隊與漏洞賞金合作夥伴Immunefi 聯繫,作為Convex 和OpenZeppelin 之間的中介。
將公開人士添加到凸Multisig
將公開的參與者添加到Convex 多重簽名是降低風險的關鍵。 OpenZeppelin 的安全團隊和Convex 的匿名開發人員一致認為,在多重簽名中添加公開的各方是最好的行動方案,這使得地毯拉動不可能執行。在OpenZeppelin 和Convex 之間建立通信後,後者修補了漏洞。
免責聲明:本文僅供參考。它不是提供或打算用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權歸作者所有,未經許可,不得轉載
