Quick take:

  • El equipo de Convex Finance ha parcheado una vulnerabilidad de tirón de alfombra por valor de 15.000 millones de dólares
  • El fallo se descubrió después de que Coinbase encargara a OpenZeppelin la realización de una revisión de seguridad de Convex Finance
  • OpenZeppelin discovered the vulnerability could result in 2 of 3 anonymous multi-signature wallet signers, having direct control over Convex’s locked value of $15 Billion at the time of the audit

Finanzas convexas ha parcheado una vulnerabilidad de tirón de alfombra que podría haber provocado la pérdida de todo el valor bloqueado en el protocolo.

El descubrimiento del fallo se produjo después de que Coinbase encargó a OpenZeppelin la realización de una auditoría de seguridad de Convex Finance. El sitio webDefi El protocolo es popular entre los titulares de Curve (CRV), que lo utilizan para aumentar los rendimientos y las recompensas.

OpenZeppelin puso en marcha la auditoría a finales de 2021 y dio lugar a que su equipo de seguridad descubriera que si la vulnerabilidad era explotada por dos de los tres firmantes anónimos del monedero multi-firma, «habría dado al multisig el control directo sobre el valor bloqueado de Convex, que entonces era de aproximadamente 15.000 millones de dólares».

El equipo de OpenZeppelin explicó que si «dos de los tres firmantes del multisig de Convex ejecutaban una serie específica de pasos, esos usuarios tendrían acceso sin restricciones a los tokens de LP estacados en un pool de destino configurado con el token de LP y el calibre de destino». Además, «la documentación de Convex en ese momento… afirmaba que esto no debería ser posible, de ahí el enfoque cauteloso de la resolución».

La revelación del fallo fue complicada dado que los desarrolladores de Convex son anónimos

En cuanto a las medidas correctoras, el parche se aplicó el 14 de diciembre de 2021.

Sin embargo, el proceso fue un poco «complicado» ya que el equipo de desarrollo de Convex es anónimo. En consecuencia, OpenZeppelin no estaba seguro de que revelar el fallo a los desarrolladores fuera la decisión correcta, ya que podrían explotarlo ellos mismos.

OpenZeppelin resolvió este dilema acudiendo al socio de la recompensa de errores, Immunefi. Este último introdujo «un intermediario entre OpenZeppelin y Convex».

Finalmente, el fallo fue revelado al incorporar partes adicionales conocidas públicamente al multisig, haciendo un tirón de la alfombra imposible hasta que se instituyera un parche.

[Imagen destacada por cortesía de convexfinance.com]