Coinbase의 보안 감사 회사인 OpenZeppelin은 익명의 개발자가 나중에 위험을 해결한 Convex Finance에서 15억 달러 규모의 러그풀(rugpull) 취약점을 확인했습니다. Convex Finance 프로토콜의 보안 검토 중에 놀라운 발견이 발생했습니다.
내부에서만 악용 가능한 버그
OpenZeppelin의 보안 연구 팀은 2021년 말에 프로토콜의 심각한 버그가 15억 달러 상당의 잠긴 자산을 위험에 빠뜨릴 수 있음을 발견했습니다. 조사에 따르면 "Convex multisig의 세 서명자 중 두 명이 특정 단계를 실행하면 사용자는 대상 풀에 스테이킹된 모든 LP 토큰에 액세스할 수 있으며 따라서 풀에서 모든 자산을 훔치는 러그풀(rugpull)을 수행할 수 있습니다. .”
문서 당시 Convex에서는 LP 풀에 이러한 재난이 발생하는 것은 불가능할 것이라고 말했습니다. 그러나 보안팀은 나중에 이 취약점을 악용하는 방법을 확인했으며 다행히 14년 2021월 XNUMX일 Convex에서 패치를 적용했습니다.
Convex Finance는 출시 이후 개발자가 익명을 유지한 오픈 소스 프로토콜입니다. 이 경우에는 다음과 같이 표시된 OpenZeppelin에서는 Convex Finance의 개발자만이 실제로 이 취약점을 악용할 수 있습니다. 익명이라는 특성상 사건에 대한 공개가 특히 복잡해졌다.
공개 합병증
Convex가 취약점을 악용하는 데 필요한 코드와 노력을 분석한 후 OpenZeppelin은 취약점이 의도하지 않은 것이며 Convex의 개발자는 선의의 행위자라고 주장했습니다.
"공개적으로 공개하면 Convex 개발자에게 잘못된 인센티브가 생겼을 것입니다." Convex 팀에 중요한 익명성 손실에 기여했습니다. 따라서 OpenZeppelin은 "OpenZeppelin과 Convex 사이의 중개자 소개를 위해 버그 현상금 파트너 Immunefi에 연락"하기로 결정했습니다.
양 당사자가 공개적으로 알려진 엔터티를 다중 서명에 초대하는 데 동의하여 rugpull을 불가능하게 만든 후 OpenZeppelin은 취약점을 이용하지 않는다는 팀의 보증을 기반으로 Convex에 버그를 공개했습니다. Convex는 곧 이 문제를 패치하여 15억 달러의 가치가 있는 러그풀(rugpull) 위험을 종료했습니다.
출처: https://cryptopotato.com/openzeppelin-found-potential-15b-rugpull-in-convex-finance/