ОпенЗеппелин је открио да је недавно открио озбиљну рањивост у коду протокола Цонвек Финанце (ЦВКС) ДеФи која би довела до повлачења тепиха од 15 милијарди долара ако би била искоришћена. Тим за развој Цонвек-а је од тада закрпио рупу, према блог посту тима од 4. априла 2022. године.
Цонвек Финанце Ругпулл напад осујећен
ОпенЗеппелин, фирма за безбедност блокова која тврди да је стандард за сигурне блокчејн апликације, пружајући решења за изградњу, аутоматизацију и рад децентрализованих апликација и још много тога, открила је да је недавно закрпила грешку Цонвек Финанце која је могла довести до повлачења тепиха од 15 милијарди долара .
За оне који нису свесни, напад повлачењем простирке се дешава када креатор пројекта децентрализованог финансирања изненада пренесе или украде целокупна средства у базенима ликвидности платформе и напусти пројекат, на штету инвеститора.
Према објави на блогу тима ОпенЗеппелин, рањивост у паметним уговорима Цонвек Финанце откривена је током провере безбедности за Цоинбасе крипто размену у децембру 2021.
Цонвек Финанце је ДеФи платформа која повећава награде за Цурве (ЦРВ) учеснике и добављаче ликвидности. Покренут од стране анонимног програмера у мају 2021, Цонвек Финанце је нарастао и постао значајан пројекат у екосистему Цурве, са укупно закључаном вредношћу од 15 милијарди долара (ТВЛ) у то време.
Пошто Цонвек Финанце држи већину ЦРВ стабилних кованица Цурве Финанце-а у оптицају, повлачење тепиха би имало разоран ефекат на чланове оба екосистема.
ОпенЗеппелин је написао:
„Као део ревизије, тим за истраживање безбедности открио је рањивост која би, ако би је искористила два од три анонимна потписника новчаника са више потписа (мултисиг), дала Цонвек мултисиг директну контролу над закључаном вредношћу Цонвек-а – тада отприлике 15 милијарди долара. У конвексној документацији је изричито наведено да таква контрола није могућа.”
Дилема
Иако је тим јасно ставио до знања да је грешка од тада исправљена, међутим, примећује да је чињеница да су рањивост могли да искористе или закрпе само анонимни програмери задужени за протокол, учинила да је процес откривања херкуловски задатак.
„Динамика контактирања анонимних тимова о питањима може бити сложена. У многим случајевима, рањивост у софтверу отвореног кода може да искористи свако ко је пронађе. У овом специфичном случају, међутим, рањивост би могла да буде искоришћена (или закрпљена) само од стране анонимних програмера Цонвек-а“, открио је ОпенЗеппелин.
Тим каже да је имао неколико опција како да открије безбедносни пропуст Цонвек-у, иако је веровао да безбедносна рупа није намерно створена, јер би анонимни статус развојног тима могао да им омогући да се лако извуку нападом повлачења тепиха. ако су одлучили да играју прљаво.
ОпенЗеппелин каже да је одлучио да на слику дода фирму за награђивање грешака, Иммунефи, која ће функционисати као посредник између ње и Цонвек-а.
На крају, обе стране су се сложиле да:
„Најбољи начин за решавање ове дилеме био је укључивање додатних јавно познатих страна у мултипотпис, што би учинило немогућим повлачење тепиха. У овом тренутку, тим за истраживање безбедности је започео отворену комуникацију са Цонвек-ом, пружајући пуне детаље о рањивости и методу тестирања. Убрзо након тога, Цонвек је закрпио рањивост“, навео је тим.
У време штампе, Цонвек Финанце (ЦВКС) има ТВЛ од 14.41 милијарди долара, према Дефи Ллами, док је цена његовог матичног ЦВКС токена око 36.57 долара, као што се види на ЦоинМаркетЦап-у.
Извор: хттпс://црипто.невс/опензеппелин-цонвек-протоцол-потентиал-15-биллион-руг-пулл/