OpenZeppelin, ein Sicherheitsprüfungsunternehmen für Coinbase, identifizierte Rugpull-Schwachstellen im Wert von 15 Milliarden US-Dollar in Convex Finance, deren anonyme Entwickler das Risiko später lösten. Die überraschende Entdeckung erfolgte während einer Sicherheitsüberprüfung des Convex Finance-Protokolls.
Ein Fehler, der nur von innen ausgenutzt werden kann
Das Sicherheitsforschungsteam von OpenZeppelin stellte Ende 2021 fest, dass ein erheblicher Fehler im Protokoll dazu geführt haben könnte, dass die gesperrten Vermögenswerte im Wert von 15 Milliarden Dollar gefährdet waren. Die Untersuchung ergab, dass „wenn zwei der drei Unterzeichner des Convex Multisig eine bestimmte Reihe von Schritten ausführen würden, die Benutzer in der Lage wären, auf alle im Zielpool eingesetzten LP-Token zuzugreifen und so einen Rugpull durchzuführen – und alle Vermögenswerte aus dem Pool zu stehlen .“
Die damalige Dokumentation von Convex besagte, dass eine solche Katastrophe für seine LP-Pools nicht möglich wäre. Das Sicherheitsteam identifizierte jedoch später Möglichkeiten, die Schwachstellen auszunutzen – die glücklicherweise am 14. Dezember 2021 von Convex gepatcht wurden.
Convex Finance ist ein Open-Source-Protokoll, dessen Entwickler seit seiner Einführung anonym geblieben sind. In diesem Fall können, wie von OpenZeppelin angegeben, nur Entwickler von Convex Finance die Schwachstellen tatsächlich ausnutzen. Die Offenlegung des Vorfalls wurde aufgrund der Anonymität besonders kompliziert.
Offenlegungskomplikationen
Nach der Analyse des Codes und des Aufwands, den Convex zum Ausnutzen der Schwachstellen benötigte, behauptete OpenZeppelin, dass die Schwachstelle unbeabsichtigt war und dass die Entwickler von Convex nach Treu und Glauben handeln.
„Öffentliche Offenlegung hätte einen perversen Anreiz für die Entwickler von Convex geschaffen“ und zum Verlust der für das Convex-Team entscheidenden Anonymität beigetragen. Daher beschloss OpenZeppelin, „sich an den Bug-Bounty-Partner Immunefi zu wenden, um eine Einführung in einen Vermittler zwischen OpenZeppelin und Convex zu erhalten“.
Nachdem sich beide Parteien darauf geeinigt hatten, öffentlich bekannte Entitäten zu Multisig einzuladen, was den Rugpull unmöglich machte, gab OpenZeppelin den Fehler an Convex weiter, auf der Grundlage der Zusicherung des Teams, die Schwachstellen nicht auszunutzen. Convex hat das Problem kurz darauf gepatcht und damit das Risiko eines Rugpulls im Wert von 15 Mrd. USD beendet.
