审计公司OpenZeppelin刚刚透露,它在康富来金融(CVX)的代码中发现一个缺陷,可能导致150亿美元的拉锯战。此后,在项目开发者的合作下,这一问题得到了解决。让我们来看看这个案件的细节,它可能给分散的金融世界带来一场灾难。
潜在的地毯式拉动避免了凸面金融
在对Coinbase平台的Convex协议进行安全审计时,专业公司OpenZeppelin发现了一个缺陷,可能导致该协议上的所有资金被地毯式抽走。
作为提醒,Convex是一个曲线型飞轮(CRV)。飞轮是一个依赖于另一个的协议,以便使后者最初提供的回报成倍增加。因此,有可能将CRV存入Convex而不是Curve,以产生更多的利益。
审计公司今天详细介绍了这一案例,它是在2021年底被发现的,当时就有150亿美元的资产面临风险,这是当时项目的总价值锁定(TVL)。
Rugpull漏洞在@ConvexFinance的实时合同中得到修补。 150亿美元的TVL得到保障。
摘要见下面的主题。技术细节见博客。https://t.co/dAkUom9qX1
– OpenZeppelin(@OpenZeppelin)2022年4月4日
这是一个可能发生的灾难场景,如果开发者心怀叵测。事实上,所涉及的金额在当时占以太坊网络(ETH)TVL的10%左右。根据Defi Llama网站的数据,这仅占整个DeFi生态系统的6%以上。
问题出在多签名系统(multisig)中,如果三个签名人中有两个人进行了一系列特定的操作,他们就可以获得整个平台的资金。
幸运的是,Convex团队并不打算触发地毯式攻击,12月14日部署了一个补丁,通过使其无法使用来纠正这个意外的缺陷。为了提高信任度,两个公开身份的签名者也被添加到多义词中。
OpenZeppelin面临着一个难以管理的局面
。
尽管审计公司对开发者的诚实和善意没有怀疑,但当它发现这个缺陷时,却面临着一个棘手的局面。为此,它必须做出战略选择,以避免将用户的资金置于风险之中。
事实上,由于该补丁只能由项目的开发者部署,她只剩下三个选择:
。
- 直接向Convex披露缺陷,但这可能会引发地毯式的拉扯,以防引起不良注意。
- 将缺陷公开,其风险与第一种可能性相同,同时将协议的声誉置于危险之中。
- 确保团队诚实,分阶段进行。
后者是首选解决方案。因为即使漏洞不是故意的,有机会拿下150亿美元也会带来很高的诱惑风险,尤其是康威公司的创始团队是匿名的。
然后,OpenZeppelin找到了Immunefi的团队,这是一个为发现协议中的漏洞的人建立赏金系统的平台。后者将其服务租给了Convex公司,同意作为中间人来进行纠正工作。
因此,这是一个结局良好的案例,甚至导致了协议安全性的提高。但它仍然提供了有趣的教训,因为虽然避免了一场大灾难,但它提醒我们,DeFi仍然年轻,有风险,必须在一个人的投资策略中考虑到。
