OpenZeppelin은 최근 CVX(Convex Finance) DeFi 프로토콜 코드에서 악용될 경우 15억 달러의 러그 풀로 이어질 수 있는 심각한 취약점을 발견했다고 밝혔습니다. 팀의 4년 2022월 XNUMX일 블로그 게시물에 따르면 이 허점은 이후 Convex 개발 팀에 의해 패치되었습니다.
볼록 금융 Rugpull 공격 실패
보안 블록체인 애플리케이션의 표준이라고 주장하는 블록체인 보안 회사인 OpenZeppelin은 분산형 애플리케이션 등을 구축, 자동화 및 운영하는 솔루션을 제공하며 최근 15억 달러 규모의 러그 풀로 이어질 수 있는 Convex Finance 버그를 패치했다고 밝혔습니다. .
모르시는 분들을 위해 말씀드리자면, 탈중앙화 금융 프로젝트 생성자가 플랫폼의 유동성 풀에 있는 전체 자금을 갑자기 이체하거나 훔치고 프로젝트를 포기하여 투자자에게 피해를 입힐 때 러그 풀 공격이 발생합니다.
OpenZeppelin 팀의 블로그 게시물에 따르면 Convex Finance 스마트 계약의 취약성은 2021년 XNUMX월 Coinbase 암호화 교환에 대한 보안 감사 연습 중에 발견되었습니다.
Convex Finance는 Curve(CRV) 스테이커 및 유동성 공급자에 대한 보상을 높이는 DeFi 플랫폼입니다. 2021년 15월 익명의 개발자가 시작한 Convex Finance는 당시 총 XNUMX억 달러의 고정 가치(TVL)를 보유한 Curve 생태계에서 주목할만한 프로젝트로 성장했습니다.
Convex Finance는 유통 중인 Curve Finance의 CRV 스테이블 코인의 대부분을 보유하고 있기 때문에 러그 풀은 두 생태계 구성원 모두에게 치명적인 영향을 미쳤을 것입니다.
OpenZeppelin은 다음과 같이 썼습니다.
“감사의 일환으로 Security Research Team은 익명의 다중 서명 지갑(다중서명) 서명자 15명 중 XNUMX명이 악용할 경우 Convex의 잠긴 가치에 대한 Convex 다중서명 직접 제어 권한을 약 XNUMX억 달러에 부여했을 취약점을 발견했습니다. Convex 문서에는 그러한 제어가 불가능하다고 구체적으로 명시되어 있습니다.”
딜레마
팀은 이후 버그가 수정되었음을 분명히 밝혔지만 프로토콜을 담당하는 익명의 개발자만 취약점을 악용하거나 패치할 수 있다는 사실로 인해 공개 프로세스가 엄청난 작업이 되었습니다.
“문제에 대해 익명의 팀에 연락하는 역학 관계는 복잡할 수 있습니다. 대부분의 경우 오픈 소스 소프트웨어의 취약점은 발견한 사람이라면 누구나 악용할 수 있습니다. 그러나이 특정 경우에 취약점은 Convex의 익명 개발자 만 악용 (또는 패치) 할 수 있습니다.”라고 OpenZeppelin이 밝혔습니다.
팀은 개발 팀의 익명 상태가 러그 풀 공격으로 쉽게 빠져나갈 수 있기 때문에 보안 허점이 의도적으로 생성되지 않았다고 믿었음에도 불구하고 보안 결함을 Convex에 공개하는 방법에 대해 몇 가지 옵션에 무게를 두었다고 말했습니다. 그들이 더럽게 놀기로 결정했다면.
OpenZeppelin은 버그 바운티 회사인 Immunefi를 그림에 추가하여 그것과 Convex 사이의 중개자 역할을 하기로 결정했다고 말했습니다.
결국 양 당사자는 다음과 같이 동의했습니다.
“이 딜레마에 대한 최선의 조치는 공개적으로 알려진 추가 당사자를 멀티시그에 통합하여 러그 풀을 불가능하게 만드는 것이었습니다. 이 시점에서 Security Research Team은 Convex와 열린 커뮤니케이션을 시작하여 전체 취약성 세부 정보와 테스트 방법을 제공했습니다. 그 직후 Convex는 취약점을 패치했습니다.”라고 팀은 말했습니다.
Defi Llama에 따르면 Convex Finance(CVX)의 TVL은 14.41억 36.57만 달러이며, 기본 CVX 토큰의 가격은 CoinMarketCap에서 볼 수 있듯이 약 XNUMX달러입니다.
출처: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/