Convex Finance DeFi项目团队修复了一个漏洞,该漏洞允许实施地毯拉动方案。 该漏洞是由 OpenZeppelin 的专家发现的。
在@ConvexFinance 的实时合约中修补了 Rugpull 漏洞。 获得了 150 亿美元的 TVL。
总结在下面的线程中。 有关技术细节,请参阅博客。👇https://t.co/dAkUom9qX1
— OpenZeppelin (@OpenZeppelin) 2022 年 4 月 4 日
专家对 Coinbase 交易所进行了协议安全审计。 他们发现,三分之二的匿名多重签名钱包签名者可以按照特定的步骤顺序访问流动资金矿池。 当时,该项目的 TVL 约为 150 亿美元。
Convex Finance 文件指出,这种控制是不可能的。 同时,只有协议开发团队可以利用该漏洞提取资金或修复。
OpenZeppelin 专家认为最有可能是代码中的无意错误,但并不能完全确定。
据他们说,他们面临着与此类项目团队的匿名性相关的两难境地:
- 向开发人员报告漏洞并促使他们实施欺诈计划(如果有的话);
- 如果团队没有策划非法行动,则公开披露漏洞并损害协议的声誉并伴随经济损失。
该研究公司认为将赏金平台 Immunefi 作为中介的最佳选择。 这条路径可以确保该错误不会被利用并将其报告给开发人员。
OpenZeppelin 和 Convex Finance 团队已同意在多重签名钱包签署者中包括额外的受信任方,以防止未经授权的提款。
之后,研究人员向协议开发人员提供了有关漏洞和测试方法的完整信息。
回想一下,在 2021 年,攻击者使用地毯拉动方案从用户那里窃取了价值 28 亿美元的加密货币。
在 Telegram 上订阅 ForkLog 新闻: ForkLog Feed – 整个新闻提要,ForkLog – 最重要的新闻、信息K线走势图和意见。
在文本中发现错误? 选择它并按 CTRL+ENTER
内容搜集自网络,整理者:BTCover,如若侵权请联系站长,会尽快删除。
