- Công ty bảo mật blockchain OpenZepplin đã phát hiện ra một lỗ hổng trong Curve có thể dẫn đến thiệt hại vô cùng lớn.
- OpenZepplin đã phát hiện được lỗi thông qua Immunifi và lỗi này đã được sửa.
Rug pull xảy ra khi các dự án tiền điện tử có thể thoái vốn của quỹ và nhà đầu mà không bị coi là bất hợp pháp. Đây đã trở thành một vấn đề được quan tâm nhiều trong không gian tài chính phi tập trung trong năm qua.
OpenZeppelin, một công ty bảo mật blockchain, đã phát hiện ra một lỗ hổng quan trọng trong quá trình kiểm tra bảo mật cho giao thức Convex Finance. Công ty phát hiện ra rằng nếu hai trong số ba người ký ví đa chữ ký của Convex thực hiện một loạt các bước cụ thể, họ có thể có quyền truy cập vào một pool thanh khoản của các token. OpenZeppelin nêu chi tiết các bước trong một bài đăng .
Vì Convex nắm giữ phần lớn các stablecoin CRV của Curve Finance đang lưu hành, nên một số quỹ đã có thể gặp rủi ro. Lỗ hổng bảo mật cho phép các nhà phát triển ẩn danh của Convex – dưới dạng đa chữ ký – có thể giành quyền kiểm soát đối với TVL của Convex, vào thời điểm đó là khoảng 15 tỷ đô la.
Lỗi này chỉ có thể khai thác hoặc vá bởi nhóm phát triển của Convex, OpenZeppelin cho biết đã làm cho quá trình tiết lộ về lỗ hổng bảo mật này trở nên phức tạp. Công ty bảo mật cho biết họ chắc chắn rằng vấn đề nảy sinh là không cố ý, có nghĩa là các nhà phát triển không biết về lỗ hổng bảo mật hoặc có ý định thoái vốn, nhưng nếu công ty sai, những người có quyền tiến hành rug pull có khả năng gây ra một thảm họa lớn cho không gian Defi.
Cuối cùng, OpenZeppelin cho biết họ đã cố gắng đảm bảo rằng lỗ hổng sẽ không bị khai thác trước khi mô tả lỗ hổng lại cho nhóm Convex. Họ đã sử dụng đối tác bug bounty Immunefi làm trung gian.
Kể từ đó, lỗi đã được vá. Lỗ hổng bảo mật chưa bao giờ bị khai thác và không có tiền bị mất. Convex đã đăng các tài nguyên bổ sung để làm rõ điểm yếu multisig trong tài liệu công khai của nó.
Nguồn: theblockcrypto.com