टेक

OpenZeppelin को उत्तल वित्त में संभावित $15B Rugpull मिला

04/06/2022
बिटकॉइन एथेरियम समाचार

कॉइनबेस के लिए एक सुरक्षा ऑडिट कंपनी OpenZeppelin ने कॉनवेक्स फाइनेंस में $15B रगपुल कमजोरियों की पहचान की, जिनके गुमनाम डेवलपर्स ने बाद में जोखिम का समाधान किया। उत्तल वित्त प्रोटोकॉल की सुरक्षा समीक्षा के दौरान आश्चर्यजनक खोज हुई।

एक बग केवल अंदर से शोषित

OpenZeppelin की सुरक्षा अनुसंधान टीम ने 2021 के अंत में पाया कि प्रोटोकॉल में एक महत्वपूर्ण बग के कारण $15B मूल्य की बंद संपत्ति जोखिम में पड़ सकती है। जांच से पता चला है कि "यदि उत्तल मल्टीसिग के तीन में से दो हस्ताक्षरकर्ताओं ने चरणों की एक विशिष्ट श्रृंखला को अंजाम दिया, तो उपयोगकर्ता लक्ष्य पूल में सभी एलपी टोकन का उपयोग करने में सक्षम होंगे और इस तरह एक रगपुल का संचालन करेंगे - पूल से सभी संपत्ति की चोरी ।"

छवि

दस्तावेज़ीकरण उस समय कॉन्वेक्स ने कहा था कि उसके एलपी पूलों में होने वाली ऐसी आपदा संभव नहीं होगी। हालाँकि, सुरक्षा टीम ने बाद में कमजोरियों का फायदा उठाने के तरीकों की पहचान की - जिन्हें सौभाग्य से 14 दिसंबर 2021 को कॉन्वेक्स द्वारा पैच कर दिया गया।

कॉन्वेक्स फाइनेंस एक ओपन-सोर्स प्रोटोकॉल है जिसके डेवलपर्स इसके लॉन्च के बाद से गुमनाम बने हुए हैं। इस उदाहरण में, जैसे संकेत दिया OpenZeppelin द्वारा, केवल Convex Finance के डेवलपर्स ही वास्तव में कमजोरियों का फायदा उठा सकते हैं। गुमनाम रहने की प्रकृति के कारण घटना के संबंध में खुलासा विशेष रूप से जटिल हो गया।

प्रकटीकरण जटिलताओं

कोड और कमजोरियों का फायदा उठाने के लिए उत्तल द्वारा आवश्यक प्रयास का विश्लेषण करने के बाद, ओपनजेपेलिन ने जोर देकर कहा कि भेद्यता अनजाने में थी और उत्तल के डेवलपर्स अच्छे विश्वास वाले अभिनेता हैं।

"सार्वजनिक प्रकटीकरण ने उत्तल के डेवलपर्स के लिए एक विकृत प्रोत्साहन बनाया होगा" और उत्तल टीम के लिए महत्वपूर्ण गुमनामी के नुकसान में योगदान दिया। जैसे, OpenZeppelin ने "OpenZeppelin और Convex के बीच एक मध्यस्थ के परिचय के लिए बग बाउंटी पार्टनर Immunefi तक पहुंचने का फैसला किया।"

दोनों पक्षों ने सार्वजनिक रूप से ज्ञात संस्थाओं को मल्टीसिग के लिए आमंत्रित करने पर सहमति व्यक्त करने के बाद, रगपुल को असंभव बना दिया, ओपनजेपेलिन ने कमजोरियों का लाभ नहीं लेने के टीम के आश्वासन के आधार पर उत्तल को बग का खुलासा किया। कॉनवेक्स ने जल्द ही इस मुद्दे को सुलझा लिया और इस तरह एक रगपुल के जोखिम को समाप्त कर दिया जिसकी कीमत $ 15B होगी।

विशेष पेशकश (प्रायोजित)

बिनेंस फ्री $ 100 (अनन्य): इस लिंक का उपयोग करें बिनेंस फ्यूचर्स पर पहले महीने रजिस्टर करने और $100 मुफ़्त और 10% की छूट प्राप्त करने के लिए (शर्तों).

प्राइमएक्सबीटी स्पेशल ऑफर: इस लिंक का उपयोग करें अपनी जमा राशि पर $50 तक प्राप्त करने के लिए POTATO7,000 कोड दर्ज करने और दर्ज करने के लिए।

स्रोत: https://cryptopotato.com/openzeppelin-found-potential-15b-rugpull-in-convex-finance/