OpenZeppelin a trouvé un Rugpull potentiel de 15 milliards de dollars dans Convex Finance

OpenZeppelin, une société d’audit de sécurité pour Coinbase, a identifié des vulnérabilités rugpull de 15 milliards de dollars dans Convex Finance, dont les développeurs anonymes ont ensuite résolu le risque. La découverte surprenante s’est produite lors d’un examen de sécurité du protocole Convex Finance.

Un bug uniquement exploitable de l’intérieur

L’équipe de recherche sur la sécurité d’OpenZeppelin a découvert fin 2021 qu’un bogue important dans le protocole aurait pu mettre en danger les 15 milliards de dollars d’actifs verrouillés. L’enquête a révélé que « si deux des trois signataires du multisig Convex exécutaient une série d’étapes spécifiques, les utilisateurs pourraient accéder à tous les jetons LP jalonnés dans le pool cible et ainsi effectuer un rugpull – voler tous les actifs du pool . »

La documentation de Convex à l’époque indiquait qu’un tel désastre survenant dans ses piscines LP ne serait pas possible. Cependant, l’équipe de sécurité a ensuite identifié des moyens d’exploiter les vulnérabilités – qui ont heureusement été corrigées par Convex le 14 décembre 2021.

Convex Finance est un protocole open source dont les développeurs sont restés anonymes depuis son lancement. Dans ce cas, comme indiqué par OpenZeppelin, seuls les développeurs de Convex Finance peuvent réellement exploiter les vulnérabilités. La divulgation de l’incident est devenue particulièrement compliquée en raison de la nature de l’anonymat.

Complications de divulgation

Après avoir analysé le code et les efforts requis par Convex pour exploiter les vulnérabilités, OpenZeppelin a affirmé que la vulnérabilité n’était pas intentionnelle et que les développeurs de Convex sont des acteurs de bonne foi.

« La divulgation publique aurait créé une incitation perverse pour les développeurs de Convex » et contribué à la perte de l’anonymat crucial pour l’équipe Convex. En tant que tel, OpenZeppelin a décidé de « contacter le partenaire de primes de bogues Immunefi pour une introduction à un intermédiaire entre OpenZeppelin et Convex ».

Après que les deux parties aient convenu d’inviter des entités publiquement connues au multisig, rendant le rugpull impossible, OpenZeppelin a divulgué le bogue à Convex sur la base de l’assurance de l’équipe de ne pas profiter des vulnérabilités. Convex a corrigé le problème peu de temps après et a ainsi mis fin au risque d’un rugpull qui aurait valu 15 milliards de dollars.