A firma OpenZeppelin acaba de revelar que descobriu uma falha no código da Convex Finance (CVX) que poderia ter conduzido a um puxão de tapete de 15 mil milhões de dólares. Desde então, isto foi corrigido com a colaboração dos promotores do projecto. Vejamos os detalhes deste caso, que poderia ter causado uma catástrofe no mundo das finanças descentralizadas.
Potencial tracção do tapete evitada na Convex Finance
Durante uma auditoria de segurança no protocolo Convex para a plataforma Coinbase, a empresa especializada OpenZeppelin descobriu uma falha que poderia ter levado a um puxão de tapete de todos os fundos do protocolo.
Como lembrete, Convex é um volante curvo (CRV). Um volante é um protocolo que depende de outro, a fim de multiplicar os retornos que este último oferece inicialmente. Assim, é possível depositar CRV em Convex em vez de Curve, para gerar mais interesse.
Este caso, hoje detalhado pela empresa de auditoria, foi descoberto no final de 2021 e colocou em risco 15 mil milhões de dólares de activos na altura, o valor total bloqueado (TVL) no projecto na altura.
Vulnerabilidade de Rugpull remendada em @ConvexFinance contratos ao vivo. $15 mil milhões em TVL garantidos.
Resumo na linha abaixo. Ver blogue para detalhes técnicos.https://t.co/dAkUom9qX1
– OpenZeppelin (@OpenZeppelin) 4 de Abril de 2022
É um cenário de catástrofe que poderia ter acontecido, se os criadores tivessem sido mal-intencionados. De facto, as somas em jogo representavam nessa altura cerca de 10% da rede Ethereum (ETH) TVL. Isso é pouco mais de 6% de todo o ecossistema DeFi, de acordo com dados do sítio web Defi Llama.
O bug em questão estava no sistema multisignature (multisig), se dois dos três signatários realizassem uma série específica de acções, eles tinham acesso a todos os fundos da plataforma.
Felizmente, a equipa da Convex não tinha qualquer intenção de desencadear um puxão de tapete e um remendo foi colocado a 14 de Dezembro para corrigir esta falha não intencional, tornando impossível a sua utilização. Dois signatários identificados publicamente foram também acrescentados ao multisig para aumentar o nível de confiança.
OpenZeppelin enfrenta uma situação difícil de gerir
Embora a empresa de auditoria não tivesse dúvidas sobre a honestidade e boa fé dos promotores, foi confrontada com uma situação complicada quando descobriu a falha. Para tal, teve de fazer escolhas estratégicas de modo a não pôr em risco os fundos dos utilizadores.
De facto, como o remendo só podia ser implantado pelos desenvolvedores do projecto, ela ficou com três opções:
- Disclose the flaw directly to Convex, mas isto poderia ter desencadeado o puxão do tapete em caso de más atenções;
- Fazer a falha pública, com os mesmos riscos que a primeira possibilidade, pondo em jogo a reputação do protocolo;
- Certificar-se de que a equipa é honesta e proceder por fases.
Esta última era a solução preferida. Porque mesmo que a violação não tenha sido intencional, ter a oportunidade de tirar 15 mil milhões de dólares pode apresentar um elevado risco de tentação, especialmente porque a equipa fundadora da Convex é anónima.
OpenZeppelin aproximou-se então da equipa no Immunefi, uma plataforma para a criação de um sistema de prémios para qualquer pessoa que descubra um bug num protocolo. Este último, alugando os seus serviços à Convex, concordou em actuar como intermediário para levar a cabo o processo de correcção.
Portanto, foi um caso que terminou bem e até levou a uma melhoria na segurança do protocolo. Mas ainda fornece lições interessantes, porque embora tenha sido evitada uma grande catástrofe, recorda-nos que a DeFi ainda é jovem e tem riscos que devem ser tidos em conta na sua estratégia de investimento.
