原文(英uk)OpenZeppelinがConvexFinanceで150億ドルのラグプルの脆弱性を発見
2022-04-05 17:40:00
OpenZeppelinのセキュリティチームがConvexFinanceプロトコルのセキュリティレビュー中に脆弱性を発見したため、定期的なセキュリティ監査はConvexFinanceにとって潜在的な悪夢になりました。
このバグが悪用された場合、Convexのロックされた価値(当時150億ドル)が危険にさらされ、探索者が直接制御できるようになる可能性があります。 Convexによるドキュメントでは、ロックされた値をこのようなレベルで制御することは不可能であると述べられていたことは興味深いことです。 発見以来、Convexチームは脆弱性に迅速にパッチを当ててきました。
バグの詳細
OpenZeppelinは、バグの発見とその後のパッチ適用に光を当てます。 ブログ投稿。 最も著名なDeFiプロトコルの1つであるConvexには、ロックされた価値の150億ドルを危険にさらす重大なバグがありました。 このプロトコルは、CurveFinanceのCRVトークンの大部分を保持しています。 Curveは、分散型経済の流動性の約1/10を提供する、主要なステーブルコイン自動マーケットメーカーです。
OpenZeppelinのセキュリティ研究チームによって発見されたバグは、Convexのマルチシグの2つまたは3つの署名者が特定の一連のステップを実行すると、LPトークンとターゲットゲージによって構成されたターゲットプールに賭けられた流動性プロバイダートークンに無制限にアクセスできることを意味しました。
ドキュメンテーション Convexからは、そのようなシナリオは不可能であるべきだと示しましたが、 その後、更新されました。 これにより、解像度が少しトリッキーになりました。 ただし、この脆弱性は2021年12月14日にパッチが適用されました。バグがどのように悪用された可能性があるかについて詳しく知ることができます。 ここ。
開示の複雑さ
OpenZeppelinのチームにとって、バグの開示は少し注意が必要であると述べました。 理由を理解しましょう。 問題の開発者チームによってのみ悪用またはパッチが適用される可能性のあるプロトコルの脆弱性をチームが見つけた場合、それは少し複雑になります。 この脆弱性は、脆弱性の開示に関して、不整合なインセンティブと不完全な状況知識がどのように複雑化につながる可能性があるかについての理想的なウィンドウを提供します。 Curveの場合、この脆弱性はConvexの匿名の開発者によってのみ悪用される可能性があります。
OpenZeppelinは、Convexの脆弱性が意図的ではないと確信していましたが、確実ではありませんでした。 もう1つの厄介な問題は、Convexチームがバグに気付いていなくても、開示によってConvexの開発者が悪意を持って行動するインセンティブが生まれ、150億ドルが手に入るということでした。 OpenZeppelinはConvex開発者に疑いの利益を喜んで与えましたが、それが間違っていることが証明された場合、その影響は重要でした。
開示の前進
Convexが開発者の身元を明らかにした場合、OpenZeppelinの懸念は払拭される可能性があります。 ただし、これにより、開発者の匿名性が失われ、Convex側でセキュリティ上の懸念が生じる可能性があります。 したがって、OpenZeppelinのチームには3つの方法が残されました。
- 脆弱性の詳細をConvexに開示する- これには、脆弱性が意図的なものであるかのようにリスクが伴い、開示により開発者は意図したラグプルを実行するようになりました。
- コミュニティに脆弱性を開示する- コミュニティ全体に脆弱性を開示することに賛成するいくつかの議論がありましたが、OpenZeppelinはこの一連の行動は無責任であると感じました。 この一連の行動から、2つの考えられるシナリオが浮かび上がった可能性があります。 脆弱性が開示され、意図的なものであった場合、開発者はラグプルを実行したでしょう。 ただし、それが意図的でない場合は、Convexの評判に重大な害を及ぼす可能性があります。
- Convexチームが脆弱性を悪用しないという保証を取得してから、開示します- これはOpenZeppelinが採用したアプローチであり、チームはConvexとOpenZeppelinの間の仲介のためにバグバウンティパートナーのImmunefiに連絡を取りました。
マルチシグを凸にするための公に知られている人の追加
公に知られている参加者をConvexマルチシグに追加することは、リスクを減らすための鍵でした。 OpenZeppelinのセキュリティチームとConvexの匿名の開発者は、マルチシグに公に知られているパーティを追加することが最善の行動であり、ラグプルを実行することを不可能にすることに同意しました。 OpenZeppelinとConvexの間の通信が確立された後、後者 パッチを当てる 脆弱性。
免責事項:この記事は情報提供のみを目的として提供されています。 法律、税務、投資、財務、またはその他のアドバイスとして提供または使用することを意図したものではありません。
元ソース