Audit firm OpenZeppelinは、コンベックスファイナンス(CVX)のコードに150億ドルのラグプルを誘発する欠陥を発見したことを明らかにしたばかりだ。その後、プロジェクトの開発者の協力のもと、修正されました。分散型金融の世界に破局をもたらしかねなかったこの事件の詳細を見てみよう
。
コンベックスファイナンスの潜在的な問題は回避された
。
CoinbaseプラットフォームのConvexプロトコルのセキュリティ監査中に、専門会社OpenZeppelinは、プロトコル上のすべての資金をラグプルに導く可能性がある欠陥を発見しました。
注意点として、コンベックスはカーブフライホイール(CRV)です。フライホイールとは、他のプロトコルに依存することで、後者が最初に提供するリターンを倍増させることである。このように、CRVをCurveではなくConvexに預けることで、より多くの利息を得ることが可能です。
監査法人が本日詳述したこの案件は、2021年末に発覚し、当時のプロジェクトのバリューロックイン(TVL)の総額である150億ドルの資産をリスクにさらしています
。
@ConvexFinanceのライブ契約にRugpullの脆弱性がパッチされる。 150億ドルのTVLを確保。
下記スレッドにまとめました。技術的な詳細はブログをご覧くださいhttps://t.co/dAkUom9qX1
– OpenZeppelin (@OpenZeppelin) April 4, 2022
..
。
開発者に悪意があれば起こりうる災害のシナリオです。実際、その時の金額はイーサリアムネットワーク(ETH)のTVLの約10%に相当する。Defi Llamaのウェブサイトのデータによると、これはDeFiエコシステム全体の6%強にあたります。
問題のバグはマルチシグネチャシステム(multisig)にあり、3人の署名者のうち2人が特定の一連の動作を行うと、プラットフォーム全体の資金にアクセスできるようになるものでした。
幸いなことに、コンベックスチームはラグプルを誘発する意図はなく、この意図しない欠陥を修正するパッチが12月14日に配備され、使用できなくなりました。また、信頼度を高めるために、2名の公認署名者をmultisigに追加した。
OpenZeppelinは管理しにくい状況に直面しています
。
監査法人は、開発者の誠実さ、誠意に疑問を持っていなかったが、欠陥を発見したとき、厄介な状況に直面することになった。そのためには、ユーザーの資金をリスクにさらすことのないよう、戦略的な選択をしなければならなかった。
実際、このパッチはプロジェクトの開発者しか適用できないため、彼女には3つの選択肢が残されていました。
- 凸さんに直接欠点を開示するも、悪質な注意の場合はラグプルの引き金になった可能性あり。
- 欠陥を公開し、最初の可能性と同じリスクを抱えながら、プロトコルの評判を危険にさらす。
- チームが誠実であることを確認し、段階を踏んで進める。
。
後者が望ましいということでした。なぜなら、たとえ違反が意図的でなかったとしても、150億ドルを奪う機会があれば、特にコンベックスの創業チームは匿名なので、誘惑のリスクは高いからです。
そこでOpenZeppelinは、プロトコルのバグを発見した人への報奨金システムを立ち上げるプラットフォームであるImmunefiのチームにアプローチした。このとき、凸版印刷は、凸版印刷にサービスを提供し、訂正作業を仲介することに同意した。
そのため、結果的にプロトコルの安全性を高めることにつながったケースでもあります。しかし、大きな災害は避けられたものの、DeFiはまだ歴史が浅く、投資戦略上考慮しなければならないリスクがあることを思い知らされ、興味深い教訓を与えてくれました
。