- सुरक्षा ऑडिट फर्म ओपनज़ेप्लिन ने कॉन्वेक्स फाइनेंस में संभावित खींचतान का पता लगाया है जिसके परिणामस्वरूप $15 बिलियन का नुकसान हो सकता है।
- यदि उत्तल मल्टीसिग के तीन हस्ताक्षरकर्ताओं में से दो ने चरणों की एक विशेष श्रृंखला लागू की, तो जांच से पता चला कि उपयोगकर्ता सभी एलपी टोकन तक पहुंचने में सक्षम होंगे।
- कॉन्वेक्स टीम ने बाद में संभावित बग को ठीक किया।
के लिए एक सुरक्षा ऑडिट फर्म क्रिप्टो एक्सचेंज कॉइनबेस ने कॉन्वेक्स फाइनेंस में $15B मूल्य की रग पुल कमजोरियों को उजागर किया है, जिसके गुमनाम डेवलपर्स ने बाद में जोखिमों का ध्यान रखा। कॉन्वेक्स फाइनेंस प्रोटोकॉल की सुरक्षा समीक्षा के दौरान यह पता चला।
ओपनज़ेप्लिन की सुरक्षा अनुसंधान टीम ने पिछले साल के अंत में पाया कि प्रोटोकॉल में एक बड़ी बग के कारण $15 बिलियन मूल्य की लॉक की गई संपत्ति जोखिम में पड़ सकती है। इसके अलावा, उनके निष्कर्षों से पता चला कि यदि उत्तल मल्टीसिग के तीन हस्ताक्षरकर्ताओं में से दो ने चरणों की एक विशेष श्रृंखला लागू की, तो उपयोगकर्ता लक्ष्य पूल में रखे गए सभी एलपी टोकन तक पहुंचने में सक्षम होंगे। आगे गलीचा खींचकर पूल से सारी संपत्ति चुरा ली।
हालाँकि, कॉन्वेक्स फाइनेंस के दस्तावेज़ ने इस बात पर प्रकाश डाला कि एलपी पूल में होने वाली ऐसी गलती संभव नहीं होगी। लेकिन सुरक्षा टीम ने बाद में कमजोरियों का फायदा उठाने के तरीके खोजे, जिन पर दिसंबर के मध्य में कॉन्वेक्स द्वारा ध्यान दिया गया।
अज्ञात डेवलपर्स द्वारा भेद्यता का पूरी तरह से शोषण किया जा सकता था
कॉन्वेक्स फाइनेंस एक ओपन-सोर्स प्रोटोकॉल है, और इसके डेवलपर्स ने अब तक गुमनाम रहना चुना है। सुरक्षा ऑडिट फर्म ने संकेत दिया कि केवल कॉन्वेक्स फाइनेंस के डेवलपर्स ही कमजोरियों का फायदा उठा सकते हैं। डेवलपर्स की गुमनामी के कारण कमजोरियों के बारे में रहस्योद्घाटन थोड़ा जटिल हो गया।
इसने आगे इस बात पर प्रकाश डाला कि भेद्यता का वास्तव में इरादा नहीं था और उन कमजोरियों का फायदा उठाने के लिए कॉन्वेक्स द्वारा आवश्यक प्रयास विज्ञापन कोड का विश्लेषण करने के बाद डेवलपर्स अच्छे-विश्वास वाले अभिनेता हैं।
ओपनज़ेप्लिन के अनुसार, सार्वजनिक प्रकटीकरण ने कॉन्वेक्स फाइनेंस के डेवलपर्स के लिए एक विकृत प्रोत्साहन पैदा किया होगा और कॉन्वेक्स टीम के लिए आवश्यक गुमनामी के नुकसान में योगदान दिया होगा।
सिक्योरिटी ऑडिट फर्म ने कॉन्वेक्स में संभावित बग का खुलासा इस आधार पर किया कि टीम ने उन्हें इसका फायदा न उठाने का आश्वासन दिया। जिसके बाद, कॉन्वेक्स ने गलीचा खींचने की संभावित समस्या को ठीक कर दिया।
RSI क्रिप्टो उद्योग इस प्रकार की धोखाधड़ी से मुक्त नहीं है। सुरक्षा मुद्दे अपरिहार्य हैं, और संभावित तनाव वैसे भी अंतरिक्ष में रेंगने वाला है। एक चीज जो हम कर सकते हैं वह है खतरे की पहचान करना और हार से पहले उसे खत्म करना, जैसा कि कॉन्वेक्स टीम ने किया था।
स्रोत: https://www.thecoinrepublic.com/2022/04/07/convex-finance-potential-rugpull-discovered-by-openzepplin-might-have-costed-15b/