Giao thức Convex – một nền tảng gia tăng mức thưởng cho người dùng stablecoin Curve – đã vá một lỗi có thể dẫn đến rug pull trị giá 15 tỷ USD.
OpenZeppelin – một công ty bảo mật blockchain – đã phát hiện ra một lỗ hổng quan trọng trong quá trình audit cho Coinbase.
Công ty phát hiện ra nếu hai trong số ba người ký ví multi-signature của Convex thực hiện một loạt các bước cụ thể, họ có thể có quyền truy cập vào một pool các token của nhà cung cấp thanh khoản. OpenZeppelin nêu chi tiết các bước trong một bài đăng.
Vì Convex nắm giữ phần lớn các stablecoin CRV của Curve Finance đang lưu hành, nên phần lớn quỹ đã gặp rủi ro. Lỗ hổng bảo mật có thể cho phép các nhà phát triển ẩn danh của Convex – dưới dạng hai trong ba người ký nhiều chữ ký – giành quyền kiểm soát đối với giá trị bị khóa của Convex, vào thời điểm đó là khoảng 15 tỷ USD.
Cuối cùng, OpenZeppelin cho biết họ đã cố gắng đảm bảo lỗ hổng sẽ không bị khai thác trước khi thông báo đến nhóm Convex. Họ đã sử dụng đối tác bug bounty Immunefi làm trung gian.
Sau đó, lỗi đã được vá. Lỗ hổng bảo mật đã không bị khai thác và không có tiền bị mất. Convex đã đăng các tài nguyên bổ sung để phá vỡ điểm yếu multisig trong tài liệu công khai.
Đọc thêm:
