Auditbedrijf OpenZeppelin heeft zojuist onthuld dat het een fout in de code van Convex Finance (CVX) heeft ontdekt die had kunnen leiden tot een vloerkleed van $15 miljard. Dit is sindsdien verholpen met de medewerking van de ontwikkelaars van het project. Laten we eens kijken naar de details van deze zaak, die een catastrofe had kunnen veroorzaken in de wereld van gedecentraliseerde financiering.
Potential rug pull vermeden op Convex Finance
Tijdens een beveiligingsaudit op het Convex-protocol voor het Coinbase-platform heeft het gespecialiseerde bedrijf OpenZeppelin een fout aan het licht gebracht die had kunnen leiden tot een vloerkleed trekken van alle fondsen op het protocol.
Ter herinnering, Convex is een Curve vliegwiel (CRV). Een vliegwiel is een protocol dat afhankelijk is van een ander, om het rendement dat het laatste aanvankelijk biedt, te vermenigvuldigen. Het is dus mogelijk om de CRV’s op Convex te zetten in plaats van op Curve, om meer rente te genereren.
Deze zaak, die vandaag door het accountantskantoor in detail is beschreven, werd eind 2021 ontdekt en bracht op dat moment 15 miljard dollar aan activa in gevaar, de totale waarde die op dat moment op het project was geblokkeerd (TVL).
Rugpull kwetsbaarheid gepatcht in @ConvexFinance’s live contracten. $15 miljard in TVL veilig gesteld.
Samenvatting in draad hieronder. Zie blog voor technische details.https://t.co/dAkUom9qX1
– OpenZeppelin (@OpenZeppelin) April 4, 2022
Het is een rampscenario dat had kunnen gebeuren, als de ontwikkelaars slechte bedoelingen hadden gehad. De bedragen waar het om ging vertegenwoordigden op dat moment ongeveer 10% van de TVL van het Ethereum netwerk (ETH). Dat is iets meer dan 6% van het hele DeFi ecosysteem, volgens gegevens van de Defi Llama website.
De bug in kwestie zat in het systeem met meerdere handtekeningen (multisig), als twee van de drie ondertekenaars een specifieke reeks handelingen verrichtten, hadden zij toegang tot de volledige fondsen van het platform.
Gelukkig was het Convex-team niet van plan een vloerkleed aan te trekken en werd op 14 december een patch uitgebracht om deze onbedoelde fout te corrigeren door het gebruik ervan onmogelijk te maken. Aan de multisig werden ook twee publiekelijk gekende ondertekenaars toegevoegd om het niveau van vertrouwen te verhogen.
OpenZeppelin staat voor een moeilijke situatie
Hoewel het controlebedrijf niet twijfelde aan de eerlijkheid en goede trouw van de ontwikkelaars, kwam het in een lastig parket toen het de fout ontdekte. Daartoe moest zij strategische keuzes maken om de middelen van de gebruikers niet in gevaar te brengen.
Omdat de patch alleen door de ontwikkelaars van het project kon worden uitgerold, had ze drie opties:
- Deel de fout direct aan Convex, maar dit had het tapijt kunnen trekken in geval van slechte attenties;
- De fout openbaar maken, met dezelfde risico’s als de eerste mogelijkheid, terwijl de reputatie van het protocol op het spel wordt gezet;
- Zorg ervoor dat het team eerlijk is en ga in fases te werk.
De laatste oplossing had de voorkeur. Want zelfs als de inbreuk niet opzettelijk was, kan de mogelijkheid om 15 miljard dollar te pakken een groot risico op verleiding inhouden, vooral omdat het oprichtersteam van Convex anoniem is.
OpenZeppelin benaderde vervolgens het team van Immunefi, een platform voor het opzetten van een bounty-systeem voor iedereen die een bug in een protocol ontdekt. Deze laatste, die haar diensten aan Convex verhuurde, stemde ermee in als tussenpersoon op te treden om het correctieproces uit te voeren.
Het was dus een zaak die goed afliep en zelfs leidde tot een verbetering van de beveiliging van het protocol. Toch biedt het interessante lessen, want hoewel een grote ramp werd vermeden, herinnert het ons eraan dat DeFi nog jong is en risico’s inhoudt waarmee rekening moet worden gehouden in iemands beleggingsstrategie.
