Разработчики DeFi-проекта Convex Finance, благодаря помощи со стороны компании OpenZeppelin, обнаружили и устранили критическую уязвимость, которая могла позволить злоумышленникам осуществить схему rug pull. Потенциальный ущерб, который могли нанести хакеры, составляет около $15 млрд.
Эксперты кибербезопасности OpenZeppelin проводили аудит безопасности криптовалютной биржи Coinbase и обнаружили что двое из трех анонимных подписантов мультисиг-кошелька могли получить доступ к пулам ликвидности, выполнив определенную последовательность шагов. Хоть уязвимостью могли воспользоваться только команда разработчиков проекта, специалисты OpenZeppelin посчитали это непреднамеренной ошибкой в коде. Однако, для того чтоб снизить вероятность того, что это была преднамеренная ошибка и разработчики похитят средства, OpenZeppelin обратились к баунти-платформе Immunefi в качестве посредника.
Команды OpenZeppelin и Convex Finance договорились включить в число подписантов мультисиг-кошелька дополнительные доверительные стороны, чтобы сделать несанкционированный вывод невозможным. После этого исследователи передали разработчикам протокола полную информацию об уязвимости и методах тестирования.
