快速預覽:
Convex Finance 的團隊修復了價值150 億美元的地毯拉扯漏洞該漏洞是在Coinbase 委託OpenZeppelin 對Convex Finance 進行安全審查後發現的OpenZeppelin 發現該漏洞可能導致3 個匿名多重簽名錢包簽名者中的2 個在審計時直接控制Convex 鎖定的150 億美元價值
Convex Finance 修復了一個地毯拉動漏洞,該漏洞可能導致協議上鎖定的全部總價值損失。
該漏洞是在Coinbase 委託OpenZeppelin 對Convex Finance 進行安全審計後發現的。 Defi 協議在Curve (CRV) 持有者中很受歡迎,他們使用它來提高收益和獎勵。
OpenZeppelin 於2021 年底啟動了審計,並導致其安全團隊發現,如果該漏洞被三個匿名多重簽名錢包簽名者中的兩個利用,它將讓Convex 多重簽名直接控制Convex 的鎖定值——然後約150 億美元”。
OpenZeppelin 的團隊解釋說,如果“Convex 多重簽名的三個簽名者中的兩個執行了一系列特定的步驟,這些用戶將可以不受限制地訪問質押在配置有LP 代幣和目標計量器的目標礦池中的LP 代幣”。此外,“當時Convex 的文件……表明這是不可能的——因此採取了謹慎的解決方法”。
鑑於Convex 的開發人員是匿名的,漏洞的披露很棘手
在補救措施方面,補丁於2021 年12 月14 日實施。
然而,這個過程有點“棘手”,因為Convex 開發團隊是匿名的。因此,OpenZeppelin 不確定將漏洞披露給開發人員是否是正確的決定,因為他們可以自己利用它。
OpenZeppelin 通過聯繫漏洞賞金合作夥伴Immunefi 解決了這個難題。後者引入了“OpenZeppelin 和Convex 之間的中介”。
最終,通過將更多的公開參與方加入到多重簽名中,該漏洞被披露,使得在補丁發布之前無法進行地毯拉動。
[Feature image courtesy of convexfinance.com]
資訊來源:由0x資訊編譯自ETHEREUMWORLDNEWS。版權歸作者所有,未經許可,不得轉載
