OpenZeppelin, sebuah perusahaan audit keamanan untuk Coinbase, mengidentifikasi kerentanan rugpull senilai $15 miliar di Convex Finance, yang pengembang anonimnya kemudian menyelesaikan risiko tersebut. Penemuan mengejutkan terjadi selama tinjauan keamanan protokol Convex Finance.
A Bug Only Exploitable From the Inside
Tim Riset Keamanan dari OpenZeppelin menemukan pada akhir tahun 2021 bahwa bug signifikan dalam protokol dapat menyebabkan aset terkunci senilai $15 miliar di mempertaruhkan. Penyelidikan mengungkapkan bahwa “jika dua dari tiga penandatangan multisig Convex mengeksekusi serangkaian langkah tertentu, pengguna akan dapat mengakses semua token LP yang dipertaruhkan di kumpulan target dan dengan demikian melakukan rugpull – mencuri semua aset dari kumpulan .”
Dokumentasi dari Convex pada waktu itu menyatakan bahwa bencana yang terjadi pada kumpulan LP-nya tidak akan mungkin terjadi. Namun, tim keamanan kemudian mengidentifikasi cara untuk mengeksploitasi kerentanan – yang untungnya telah ditambal oleh Convex pada 14 Desember 2021.
Convex Finance adalah protokol sumber terbuka yang pengembangnya tetap anonim sejak diluncurkan. Dalam hal ini, seperti yang ditunjukkan oleh OpenZeppelin, hanya pengembang Convex Finance yang benar-benar dapat mengeksploitasi kerentanan. Pengungkapan mengenai insiden tersebut menjadi sangat rumit karena sifat anonimitas.
Komplikasi Pengungkapan
Setelah menganalisis kode dan upaya yang diperlukan oleh Convex untuk mengeksploitasi kerentanan, OpenZeppelin menegaskan bahwa kerentanan itu tidak disengaja dan bahwa pengembang Convex adalah aktor yang beritikad baik.
“ Pengungkapan publik akan menciptakan insentif yang merugikan bagi pengembang Convex” dan berkontribusi pada hilangnya anonimitas yang penting bagi tim Convex. Dengan demikian, OpenZeppelin memutuskan untuk “menjangkau mitra hadiah bug Immunefi untuk pengenalan perantara antara OpenZeppelin dan Convex.”
Setelah kedua pihak sepakat untuk mengundang entitas yang dikenal publik ke multisig, membuat rugpull tidak mungkin, OpenZeppelin mengungkapkan bug tersebut ke Convex pada dasar memiliki jaminan tim untuk tidak mengambil keuntungan dari kerentanan. Convex menambal masalah segera setelah itu dan dengan demikian menghentikan risiko rugpull yang akan bernilai $15B.
Artikel ini disadur dari cryptopotato.com sebagai kliping berita saja. Trading dan Investasi Crypto adalah hal yang beresiko, silakan baca himbauan BAPPEBTI, OJK, Kementrian Keuangan dan Bank Indonesia. Kami bukan pakar keuangan, pakar blockchain, ataupun pakar trading. Kerugian dan kealpaan karena penyalahgunaan artikel ini, adalah tanggungjawab anda sendiri.