Die Wirtschaftsprüfungsgesellschaft OpenZeppelin hat gerade bekannt gegeben, dass sie eine Schwachstelle im Code von Convex Finance (CVX) entdeckt hat, die zu einem Rug Pull im Wert von 15 Milliarden US-Dollar hätte führen können. Inzwischen wurde dies in Zusammenarbeit mit den Entwicklern des Projekts behoben. Lassen Sie uns einen Blick auf die Details dieser Angelegenheit werfen, die eine Katastrophe in der dezentralisierten Finanzwelt hätte auslösen können.
Ein potenzieller Rug Pull bei Convex Finance verhindert
Bei einer Sicherheitsprüfung des Convex-Protokolls im Auftrag der Coinbase-Plattform hat die spezialisierte Firma OpenZeppelin eine Schwachstelle aufgedeckt, die zu einem Rug Pull aller auf dem Protokoll befindlichen Gelder hätte führen können.
Zur Erinnerung: Convex ist ein Curve Flywheel (CRV). Ein Flywheel ist ein Protokoll, das von einem anderen abhängig ist, um die Renditen, die das Protokoll ursprünglich anbietet, zu vervielfachen. So ist es möglich, seine CRVs auf Convex statt auf Curve zu hinterlegen, um mehr Zinsen zu generieren.
Dieser Fall, der heute von der Prüfungsgesellschaft detailliert beschrieben wird, wurde Ende 2021 aufgedeckt und gefährdete damals Vermögenswerte im Wert von 15 Milliarden US-Dollar, was dem gesamten gesperrten Wert (TVL) auf dem Projekt zum Zeitpunkt der Tat entsprach.
Rugpull Vulnerability patched in @ConvexFinance’s live contracts. $15 billion in TVL secured.
Zusammenfassung im Thread unten. See blog for technical details.https://t.co/dAkUom9qX1
– OpenZeppelin (@OpenZeppelin) April 4, 2022
Es ist ein Horrorszenario, das hätte eintreten können, wenn die Entwickler schlechte Absichten gehabt hätten. Denn die Beträge, um die es ging, machten zu diesem Zeitpunkt etwa 10 % der TVL des Ethereum-Netzwerks (ETH) aus. Oder etwas mehr als 6 % des gesamten DeFi-Ökosystems, wie aus den Daten der Website Defi Llama hervorgeht.
Der Fehler lag im Multisignatur-System (Multisig): Wenn zwei der drei Unterzeichner eine bestimmte Reihe von Aktionen ausführten, hatten sie Zugriff auf das gesamte Kapital der Plattform.
Glücklicherweise hatte das Convex-Team nicht die Absicht, einen Rug Pull auszulösen, und am 14. Dezember wurde ein Patch bereitgestellt, der die unbeabsichtigte Schwachstelle behebt und ihre Nutzung unmöglich macht. Zwei Unterzeichner, deren Identität öffentlich ist, wurden ebenfalls zur Multisig hinzugefügt, um das Vertrauensniveau zu erhöhen.
OpenZeppelin vor einer schwer zu bewältigenden Situation
Obwohl die Prüfungsgesellschaft nicht an der Ehrlichkeit und dem guten Glauben der Entwickler zweifelte, musste sie sich mit einer schwierigen Situation auseinandersetzen, als sie die Sicherheitslücke entdeckte. Dabei musste sie strategische Entscheidungen treffen, um die Gelder der Nutzer nicht zu gefährden.
Da der Patch nur von den Entwicklern des Projekts bereitgestellt werden konnte, hatte sie drei Möglichkeiten:
- Die Schwachstelle direkt an Convex weitergeben, aber das hätte bei schlechter Aufmerksamkeit den Rug Pull auslösen können;
- Die Schwachstelle öffentlich machen, mit denselben Risiken wie bei der ersten Möglichkeit, wobei jedoch der Ruf des Protokolls auf dem Spiel steht ;
- Sich der Ehrlichkeit des Teams versichern, um schrittweise vorzugehen.
Die letztgenannte Lösung wurde bevorzugt. Denn selbst wenn die Sicherheitslücke nicht beabsichtigt war, kann die Möglichkeit, 15 Milliarden Dollar zu erbeuten, ein hohes Risiko der Versuchung darstellen, zumal das Gründerteam von Convex anonym ist.
OpenZeppelin näherte sich daraufhin dem Team von Immunefi, einer Plattform, die es ermöglicht, ein Prämiensystem für jeden einzurichten, der einen Fehler in einem Protokoll entdeckt. Diese Plattform, die ihre Dienste an Convex vermietet, erklärte sich bereit, als Vermittler zu fungieren, um den Korrekturprozess zu vollenden.
Der Fall ging also gut aus und führte sogar zu einer Verbesserung der Sicherheit des Protokolls. Es ist zwar eine Katastrophe größeren Ausmaßes verhindert worden, aber es erinnert uns daran, dass DeFi noch jung ist und Risiken birgt, die man bei seiner Investitionsstrategie berücksichtigen sollte.
