OpenZeppelin, een bedrijf dat veiligheidscontroles uitvoert voor Coinbase, heeft $15 miljard aan rugpull-kwetsbaarheden geïdentificeerd in Convex Finance, waarvan de anonieme ontwikkelaars later het risico hebben opgelost. De verrassende ontdekking vond plaats tijdens een beveiligingscontrole van het Convex Finance-protocol.

Een bug die alleen van binnenuit kan worden gebruikt

Het Security Research Team van OpenZeppelin ontdekte eind 2021 een significante bug in het protocol dat had kunnen leiden tot het in gevaar brengen van de $15B aan vergrendelde activa. Het onderzoek onthulde dat "als twee van de drie ondertekenaars van de Convex multisig een specifieke aantal stappen zouden uitvoeren, gebruikers in staat zouden zijn om toegang te krijgen tot alle lp-tokens die in de target pool zijn gestacked en zo een rugpull zou kunnen uitvoeren dor het stelen van alle activa uit de pool."

In documentatie van Convex stond op dat moment dat een dergelijke ramp met de lp-pools niet mogelijk zou zijn. Het beveiligingsteam identificeerde later echter manieren om de kwetsbaarheden uit te buiten die gelukkig op 14 december 2021 door Convex werden verholpen.

Convex Finance is een open-source protocol waarvan de ontwikkelaars anoniem zijn gebleven sinds de lancering. In dit geval, zoals aangegeven door OpenZeppelin, kunnen alleen de ontwikkelaars van Convex Finance daadwerkelijk gebruikmaken van de kwetsbaarheden. De openbaarmaking van het incident werd bijzonder gecompliceerd vanwege de aard van de anonimiteit.

Complicaties bij openbaarmaking

Na analyse van de code en de moeite die Convex moest doen om de kwetsbaarheden te misbruiken, stelde OpenZeppelin dat de kwetsbaarheid onbedoeld was en dat de ontwikkelaars van Convex te vertrouwen zijn.

"Een openbare bekendmaking zou een verkeerde stimulans hebben gecreëerd voor de ontwikkelaars van Convex" en zou hebben bijgedragen aan het verlies van de anonimiteit die cruciaal is voor het Convex-team. Daarom besloot OpenZeppelin om "contact op te nemen met bug bounty-partner Immunefi voor een introductie van een tussenpersoon tussen OpenZeppelin en Convex."

Nadat beide partijen ermee instemden om publiekelijk bekende entiteiten uit te nodigen voor multisig, waardoor de rugpull onmogelijk werd, heeft OpenZeppelin het beveiligingslek aan Convex onthuld op basis van de verzekering van het team om geen gebruik te maken van de kwetsbaarheden. Convex heeft het probleem snel gepatcht en daarmee het risico op een rugpull ter waarde van $15 miljard geëlimineerd.