Mae OpenZeppelin wedi datgelu ei fod yn ddiweddar wedi datgelu bregusrwydd difrifol yng nghod protocol DeFi Amgrwm Cyllid (CVX) a fyddai wedi arwain at dynnu ryg o $15 biliwn pe bai’n cael ei ecsbloetio. Ers hynny mae’r bwlch wedi’i glytio gan dîm datblygu Amgrwm, yn ôl post blog ar Ebrill 4, 2022 gan y tîm.
Atal Ymosodiad Rugpull Cyllid Amgrwm
Mae OpenZeppelin, cwmni diogelwch blockchain sy'n honni ei fod y safon ar gyfer cymwysiadau cadwyni bloc diogel, sy'n darparu atebion i adeiladu, awtomeiddio a gweithredu cymwysiadau datganoledig a mwy, wedi datgelu ei fod wedi clytio nam Cyllid Amgrwm yn ddiweddar a allai fod wedi arwain at dynnu ryg o $15 biliwn. .
I'r rhai nad ydynt yn ymwybodol, mae ymosodiad tynnu ryg yn digwydd pan fydd crëwr prosiect cyllid datganoledig yn trosglwyddo'n sydyn neu'n dwyn yr arian cyfan ym mhyllau hylifedd y platfform ac yn rhoi'r gorau i'r prosiect, ar draul buddsoddwyr.
Yn ôl post blog gan dîm OpenZeppelin, darganfuwyd y bregusrwydd yng nghontractau smart Convex Finance yn ystod ymarfer archwilio diogelwch ar gyfer cyfnewid crypto Coinbase ym mis Rhagfyr 2021.
Mae Convex Finance yn blatfform DeFi sy'n rhoi hwb i wobrau i gyfranwyr Curve (CRV) a darparwyr hylifedd. Wedi'i lansio gan ddatblygwr dienw ym mis Mai 2021, mae Convex Finance wedi tyfu i ddod yn brosiect nodedig yn ecosystem Curve, gyda chyfanswm gwerth $15 biliwn wedi'i gloi (TVL) ar y pryd.
Gan fod Convex Finance yn dal y rhan fwyaf o arian sefydlog CRV Curve Finance mewn cylchrediad, byddai tynnu ryg wedi cael effaith ddinistriol ar aelodau'r ddwy ecosystem.
Ysgrifennodd OpenZeppelin:
“Fel rhan o’r archwiliad, datgelodd y Tîm Ymchwil Diogelwch wendid a fyddai, pe bai dau o’r tri arwyddwr waledi aml-lofnod (aml-lofnod) dienw yn ei ecsbloetio, wedi rhoi rheolaeth uniongyrchol i Aml-lofnod Amgrwm dros werth dan glo Amgrwm – tua $15 biliwn wedyn. Roedd dogfennau amgrwm yn nodi’n benodol nad oedd rheolaeth o’r fath yn bosibl.”
Mae'r Cyfyng-gyngor
Er bod y tîm wedi ei gwneud yn glir bod y nam wedi'i drwsio ers hynny, mae'n nodi serch hynny bod y ffaith mai dim ond y devs dienw sy'n gyfrifol am y protocol y gallai'r bregusrwydd gael ei ecsbloetio neu ei glytio wedi gwneud y broses ddatgelu yn dasg hercwlaidd.
“Gall deinameg cysylltu â thimau dienw am faterion fod yn gymhleth. Mewn llawer o achosion, gall unrhyw un sy'n dod o hyd iddo fanteisio ar wendid meddalwedd ffynhonnell agored. Yn yr achos penodol hwn, fodd bynnag, dim ond datblygwyr dienw Convex a allai ecsbloetio (neu glytio) ar y bregusrwydd,” datgelodd OpenZeppelin.
Dywed y tîm ei fod wedi pwyso a mesur sawl opsiwn o ran sut i ddatgelu'r diffyg diogelwch i Amgrwm, er ei fod yn credu nad oedd y bwlch diogelwch wedi'i greu'n fwriadol, oherwydd gallai statws dienw'r tîm datblygu adael iddynt ddianc rhag ymosodiad tynnu ryg yn hawdd. pe baent yn penderfynu chwarae'n fudr.
Dywed OpenZeppelin ei fod wedi penderfynu ychwanegu cwmni bounty byg, Immunefi at y llun, i weithredu fel cyfryngwr rhyngddo a Convex.
Yn y diwedd, cytunodd y ddwy ochr:
“Y ffordd orau o weithredu i’r cyfyng-gyngor hwn oedd ymgorffori partïon cyhoeddus ychwanegol i’r multisig, gan wneud tynnu ryg yn amhosibl. Ar y pwynt hwn, dechreuodd y Tîm Ymchwil Diogelwch gyfathrebu agored ag Convex, gan ddarparu manylion bregusrwydd llawn a dull profi. Yn fuan wedi hynny, glytiodd Amgrwm y bregusrwydd, ”meddai’r tîm.
Yn y wasg, mae gan Convex Finance (CVX) TVL o $14.41 biliwn, yn ôl Defi Llama, tra bod pris ei docyn CVX brodorol tua $36.57, fel y gwelir ar CoinMarketCap.
Ffynhonnell: https://crypto.news/openzeppelin-convex-protocol-potential-15-billion-rug-pull/