La società di revisione OpenZeppelin ha appena rivelato di aver scoperto una falla nel codice di Convex Finance (CVX) che avrebbe potuto portare a un rug pull da 15 miliardi di dollari. Questo è stato risolto con la collaborazione degli sviluppatori del progetto. Diamo un’occhiata ai dettagli di questo caso, che avrebbe potuto causare una catastrofe nel mondo della finanza decentralizzata.
Potenziale tappeto tirato evitato su Convex Finance
Durante un controllo di sicurezza sul protocollo Convex per la piattaforma Coinbase, la società specializzata OpenZeppelin ha scoperto una falla che avrebbe potuto portare ad un ritiro di tutti i fondi sul protocollo.
Come promemoria, Convex è un volano Curve (CRV). Un volano è un protocollo che dipende da un altro, al fine di moltiplicare i rendimenti che quest’ultimo offre inizialmente. Così, è possibile depositare i CRV su Convex piuttosto che su Curve, per generare più interesse.
Questo caso, dettagliato oggi dalla società di revisione, è stato scoperto alla fine del 2021 e ha messo a rischio 15 miliardi di dollari di attività all’epoca, il valore totale bloccato (TVL) sul progetto al momento.
Rugpull vulnerabilità patchata nei contratti live di @ConvexFinance 15 miliardi di dollari in TVL assicurati.
Riassunto nel thread qui sotto. Vedi il blog per i dettagli tecnici.https://t.co/dAkUom9qX1
– OpenZeppelin (@OpenZeppelin) April 4, 2022
È uno scenario disastroso che sarebbe potuto accadere, se gli sviluppatori fossero stati male intenzionati. Infatti, le somme in gioco rappresentavano all’epoca circa il 10% del TVL della rete Ethereum (ETH). Questo è poco più del 6% dell’intero ecosistema DeFi, secondo i dati del sito Defi Llama.
Il bug in questione era nel sistema di multisignature (multisig), se due dei tre firmatari eseguivano una specifica serie di azioni, avevano accesso a tutti i fondi della piattaforma.
Fortunatamente, il team di Convex non aveva alcuna intenzione di innescare un rug pull e una patch è stata distribuita il 14 dicembre per correggere questo difetto involontario rendendolo impossibile da usare. Al multisig sono stati aggiunti anche due firmatari identificati pubblicamente per aumentare il livello di fiducia.
OpenZeppelin affronta una situazione difficile da gestire
Anche se la società di revisione non aveva dubbi sull’onestà e la buona fede degli sviluppatori, si è trovata di fronte a una situazione difficile quando ha scoperto la falla. Per farlo, ha dovuto fare delle scelte strategiche per non mettere a rischio i fondi degli utenti.
Infatti, dato che la patch poteva essere distribuita solo dagli sviluppatori del progetto, le rimanevano tre opzioni:
- Rivela la falla direttamente a Convex, ma questo avrebbe potuto far scattare il tiro al tappeto in caso di cattive attenzioni;
- Rendere pubblica la falla, con gli stessi rischi della prima possibilità, mettendo in gioco la reputazione del protocollo;
- Assicurati che la squadra sia onesta e procedi per gradi.
Quest’ultima era la soluzione preferita. Perché anche se la violazione non era intenzionale, avere l’opportunità di prendere 15 miliardi di dollari può presentare un alto rischio di tentazione, soprattutto perché il team fondatore di Convex è anonimo.
OpenZeppelin si è quindi avvicinato al team di Immunefi, una piattaforma per impostare un sistema di taglie per chiunque scopra un bug in un protocollo. Quest’ultimo, affittando i suoi servizi a Convex, ha accettato di agire come intermediario per realizzare il processo di correzione.
Quindi è stato un caso che si è concluso bene e che ha persino portato a un miglioramento della sicurezza del protocollo. Ma fornisce ancora lezioni interessanti, perché mentre un grande disastro è stato evitato, ci ricorda che la DeFi è ancora giovane e ha rischi che devono essere presi in considerazione nella propria strategia di investimento.
