Convex Finance ha parcheado un fallo encontrado por un equipo de seguridad de blockchain y ha publicado una actualización.
OpenZeppelin, una empresa de auditoría de seguridad de Coinbase, fue la que descubrió las vulnerabilidades de rugpull de Convex Finance, que tenían un valor de 15.000 millones de dólares. El descubrimiento se produjo al hacer una auditoría de seguridad del protocolo de Convex Finance.
Un fallo que sólo se puede explotar desde dentro
A finales de 2021, el equipo de investigación de seguridad de OpenZeppelin identificó un grave fallo del protocolo que ponía en peligro los 15.000 millones de dólares en activos congelados. En la investigación, se descubrió que si dos de los tres firmantes multisig de Convex realizaban una determinada serie de acciones, los usuarios podían acceder a todos los tokens LP depositados en el pool de destino y, por tanto, realizar un rugpull, eliminando todos los activos del pool.
A pesar de que la documentación de Convex decía que tal catástrofe para sus pools de LP era inconcebible, ocurrió de todos modos. En los días siguientes, el equipo de seguridad descubrió nuevas formas de atacar las vulnerabilidades, que Convex pudo solucionar el 14 de diciembre de 2021.
Convex Finance es un protocolo de código abierto cuyos desarrolladores han decidido permanecer en el anonimato. Según OpenZeppelin, sólo los desarrolladores de Convex Finance podrán explotar plenamente las lagunas si colaboran. La oscuridad de la situación dificulta la revelación de lo sucedido.
OpenZeppelin aclara la preocupación por la transparencia
Según OpenZeppelin, la vulnerabilidad no fue intencionada y los desarrolladores de Convex son ciudadanos honestos y honrados.
Cuando el equipo de Convex tuvo conocimiento de la publicación pública, no pudo mantener su anonimato. Para ello, OpenZeppelin se puso en contacto con su socio de recompensas por errores Immunefi para que le ayudara a vincular OpenZeppelin y Convex.
Tras un acuerdo entre ambas partes para invitar a las empresas reconocidas públicamente a multisig, OpenZeppelin informó a Convex de la situación, lo que hizo inviable el rugpull. Convex pudo resolver la cuestión inmediatamente, evitando un rugpull de 15.000 millones de dólares.
