OpenZeppelin Foils Convex प्रोटोकॉल की संभावित $15 बिलियन रग पुल – क्रिप्टो.न्यूज़

OpenZeppelin ने खुलासा किया है कि उसने हाल ही में कॉन्वेक्स फाइनेंस (CVX) DeFi प्रोटोकॉल कोड में एक गंभीर भेद्यता का खुलासा किया है, जिसका फायदा उठाने पर $15 बिलियन का नुकसान हो सकता था। टीम के 4 अप्रैल, 2022 के ब्लॉग पोस्ट के अनुसार, कॉन्वेक्स डेवलपमेंट टीम द्वारा खामियों को दूर कर दिया गया है।

उत्तल वित्त रगपुल हमला विफल 

OpenZeppelin, एक ब्लॉकचेन सुरक्षा फर्म जो सुरक्षित ब्लॉकचेन अनुप्रयोगों के लिए मानक होने का दावा करती है, विकेंद्रीकृत अनुप्रयोगों के निर्माण, स्वचालित और संचालित करने के लिए समाधान प्रदान करती है, ने खुलासा किया है कि उसने हाल ही में एक उत्तल वित्त बग को पैच किया है जिसके कारण $15 बिलियन का नुकसान हो सकता है। .

जो लोग अनजान हैं, उनके लिए एक गलीचा हमला तब होता है जब एक विकेन्द्रीकृत वित्त परियोजना निर्माता अचानक मंच के तरलता पूल में पूरे फंड को स्थानांतरित या चुरा लेता है और निवेशकों की हानि के लिए परियोजना को छोड़ देता है।

OpenZeppelin टीम के एक ब्लॉग पोस्ट के अनुसार, दिसंबर 2021 में कॉइनबेस क्रिप्टो एक्सचेंज के लिए एक सुरक्षा ऑडिट अभ्यास के दौरान कॉन्वेक्स फाइनेंस स्मार्ट कॉन्ट्रैक्ट्स में भेद्यता का पता चला था।

कॉन्वेक्स फाइनेंस एक डेफी प्लेटफॉर्म है जो कर्व (सीआरवी) हितधारकों और तरलता प्रदाताओं के लिए पुरस्कार बढ़ाता है। मई 2021 में एक अज्ञात डेवलपर द्वारा लॉन्च किया गया, कॉन्वेक्स फाइनेंस कर्व इकोसिस्टम में एक उल्लेखनीय परियोजना बन गया है, उस समय कुल मूल्य लॉक (टीवीएल) में $ 15 बिलियन था।

चूंकि कॉन्वेक्स फाइनेंस के पास प्रचलन में कर्व फाइनेंस के अधिकांश सीआरवी स्टैब्लॉक्स हैं, इसलिए गलीचा खींचने से दोनों पारिस्थितिक तंत्र के सदस्यों पर विनाशकारी प्रभाव पड़ता। 

ओपनज़ेपेलिन ने लिखा:

“ऑडिट के हिस्से के रूप में, सुरक्षा अनुसंधान टीम ने एक भेद्यता का खुलासा किया, जिसका उपयोग अगर तीन अज्ञात मल्टी-सिग्नेचर वॉलेट (मल्टीसिग) हस्ताक्षरकर्ताओं में से दो द्वारा किया जाता, तो कॉन्वेक्स मल्टीसिग को कॉन्वेक्स के लॉक किए गए मूल्य पर सीधा नियंत्रण मिल जाता - जो कि लगभग $ 15 बिलियन है। उत्तल दस्तावेज़ीकरण में विशेष रूप से कहा गया है कि ऐसा नियंत्रण संभव नहीं है।"

दुविधा 

हालाँकि टीम ने यह स्पष्ट कर दिया है कि बग को ठीक कर दिया गया है, फिर भी यह नोट किया गया है कि इस तथ्य का कि प्रोटोकॉल के प्रभारी अज्ञात डेवलपर्स द्वारा ही भेद्यता का शोषण या पैच किया जा सकता है, ने प्रकटीकरण प्रक्रिया को एक कठिन कार्य बना दिया है।

“मुद्दों के बारे में गुमनाम टीमों से संपर्क करने की गतिशीलता जटिल हो सकती है। कई मामलों में, ओपन-सोर्स सॉफ़्टवेयर में भेद्यता का पता लगाने वाला कोई भी व्यक्ति इसका फायदा उठा सकता है। हालाँकि, इस विशिष्ट उदाहरण में, भेद्यता का फायदा केवल कॉन्वेक्स के अज्ञात डेवलपर्स द्वारा ही उठाया जा सकता है (या पैच किया जा सकता है),'' ओपनज़ेपेलिन ने खुलासा किया।

टीम का कहना है कि कॉन्वेक्स की सुरक्षा खामी का खुलासा कैसे किया जाए, इस पर कई विकल्पों पर विचार किया गया, भले ही उसका मानना ​​था कि सुरक्षा खामी जानबूझकर नहीं बनाई गई थी, क्योंकि देव टीम की गुमनाम स्थिति उन्हें आसानी से गलीचा खींचकर भागने दे सकती थी। अगर उन्होंने गंदा खेलने का फैसला किया है।

OpenZeppelin का कहना है कि उसने अपने और कॉन्वेक्स के बीच मध्यस्थ के रूप में कार्य करने के लिए एक बग बाउंटी फर्म, इम्यूनफ़ी को चित्र में जोड़ने का निर्णय लिया।

अंत में, दोनों पक्ष इस पर सहमत हुए कि:

“इस दुविधा के लिए कार्रवाई का सबसे अच्छा तरीका मल्टीसिग में अतिरिक्त सार्वजनिक रूप से ज्ञात पार्टियों को शामिल करना था, जिससे गलीचा खींचना असंभव हो गया। इस बिंदु पर, सुरक्षा अनुसंधान टीम ने पूर्ण भेद्यता विवरण और एक परीक्षण विधि प्रदान करते हुए, कॉन्वेक्स के साथ खुला संचार शुरू किया। इसके तुरंत बाद, कॉन्वेक्स ने भेद्यता को ठीक कर दिया, ”टीम ने कहा।

डेफी लामा के अनुसार, प्रेस समय के अनुसार, कॉन्वेक्स फाइनेंस (सीवीएक्स) का टीवीएल 14.41 बिलियन डॉलर है, जबकि इसके मूल सीवीएक्स टोकन की कीमत लगभग 36.57 डॉलर है, जैसा कि कॉइनमार्केटकैप पर देखा गया है।