OpenZeppelin, una società di audit di sicurezza per Coinbase, ha identificato vulnerabilità di $ 15 miliardi in Convex Finance, i cui sviluppatori anonimi hanno successivamente risolto il rischio. La sorprendente scoperta è avvenuta durante una revisione della sicurezza del protocollo Convex Finance.
Un bug sfruttabile solo dall'interno
Il Security Research Team di OpenZeppelin ha scoperto alla fine del 2021 che un bug significativo nel protocollo avrebbe potuto portare a mettere a rischio il valore di $ 15 miliardi di asset bloccati. L'indagine ha rivelato che "se due dei tre firmatari del multisig Convex eseguissero una serie specifica di passaggi, gli utenti sarebbero in grado di accedere a tutti i token LP puntati nel pool di destinazione e quindi condurre un rugpull – rubando tutti gli asset dal pool .”
La documentazione di Convex a quel tempo affermava che un tale disastro che si verificava nei suoi pool di LP non sarebbe stato possibile. Tuttavia, il team di sicurezza ha successivamente identificato i modi per sfruttare le vulnerabilità, che fortunatamente sono state corrette da Convex il 14 dicembre 2021.
Convex Finance è un protocollo open source i cui sviluppatori sono rimasti anonimi sin dal suo lancio. In questo caso, come indicato da OpenZeppelin, solo gli sviluppatori di Convex Finance possono effettivamente sfruttare le vulnerabilità. La divulgazione dell'incidente è diventata particolarmente complicata a causa della natura dell'anonimato.
Complicazioni di divulgazione
Dopo aver analizzato il codice e lo sforzo richiesto da Convex per sfruttare le vulnerabilità, OpenZeppelin ha affermato che la vulnerabilità non era intenzionale e che gli sviluppatori di Convex sono attori in buona fede.
"La divulgazione pubblica avrebbe creato un incentivo perverso per gli sviluppatori di Convex" e contribuito alla perdita di anonimato cruciale per il team di Convex. In quanto tale, OpenZeppelin ha deciso di "contattare il partner di taglia bug Immunefi per un'introduzione a un intermediario tra OpenZeppelin e Convex".
Dopo che entrambe le parti hanno accettato di invitare entità pubblicamente note a multisig, rendendo impossibile il rugpull, OpenZeppelin ha rivelato il bug a Convex sulla base della garanzia del team di non sfruttare le vulnerabilità. Convex ha corretto il problema subito dopo, eliminando così il rischio di un rugpull che sarebbe valso $ 15 miliardi.