Convex Finance, dự án hàng đầu đang tham gia cuộc chiến Curve Wars, xác nhận đã phát hiện và khắc phục một lỗ hổng có thể dẫn đến thiệt hại khủng khiếp.
Ngày 04/04, Convex Finance (CVX), dự án gia tăng phần thưởng cho những người khóa token Curve (CRV) lại cho mình, đã vá thành công một lỗ hổng có thể gây thiệt hại đến 15 tỷ USD.
Lỗ hổng này được đơn vị nghiên cứu bảo mật OpenZeppelin phát hiện vào cuối năm 2021, khi đang tiến hành kiểm toán Convex theo yêu cầu từ sàn giao dịch Coinbase. OpenZeppelin thấy rằng nếu 2 trong 3 người nắm giữ khóa truy cập vào ví đa chữ ký của Convex thực hiện một số thao tác nhất định, họ có thể chiếm được quyền sở hữu toàn bộ quỹ thanh khoản của dự án, trị giá đến 15 tỷ USD vào thời điểm ấy.
Đa phần số tiền trong quỹ trên nằm dưới dạng token CRV của Curve, do đó việc Convex bị tấn công có thể tạo hiệu ứng dây chuyền lan đến Curve và nghiêm trọng hơn là lĩnh vực DeFi trên mạng Ethereum.
A full write-up of the bug disclosure from December 2021 from @OpenZeppelin.
Additional information regarding this disclosure can also be found in Convex documentation: https://t.co/NE4JSUhYa6 https://t.co/XrzmpgmVeh
— Convex Finance (@ConvexFinance) April 4, 2022
OpenZeppelin cũng thấy rằng lỗi này chỉ có thể được vá được bởi đội ngũ phát triển của Convex và đã xuất hiện trong khâu lập trình dự án. Điều này khiến đơn vị bảo mật này cảm thấy vô cùng băn khoăn trước lựa chọn tiếp theo, với một bên là thông báo cho Convex để khắc phục lỗ hổng với điều kiện là họ cũng không biết gì về nó và tất cả chỉ là một lỗi lập trình, còn bên còn lại là thông báo cho cộng đồng crypto nguy cơ Convex sẽ rug pull nếu lỗ hổng trên được cố ý cài vào đó từ đầu.
Cuối cùng, OpenZeppelin đã chọn liên lạc với Convex và nhận được cam kết từ Convex là lỗ hổng sẽ không bị lợi dụng để gây thiệt hại cho người dùng. Convex sau đó đã vá nó và cả hai đồng ý cùng công bố sự thật cho cộng đồng tiền mã hóa vào ngày 04/04.
Đây không phải là lần đầu tiên Convex gặp vấn đề kỹ thuật trong năm 2022. Như đã được Coin68 đưa tin vào đầu tháng 3, hợp đồng khóa token CVX của dự án đã gặp lỗi và cần được thay thế bằng hợp đồng mới. Convex sau đó đã mở khóa toàn bộ CVX của người dùng và yêu cầu họ chuyển sang giải pháp thay thế một cách thủ công. Nhiều người lo ngại điều đó có thể khiến giá CVX bị bán tháo mạnh khi một lượng lớn token bị mở khóa đột ngột, song viễn cảnh ấy đã không xảy ra và Convex đã thay đổi hợp đồng thành công.
Vụ việc giữa Convex – OpenZeppelin cũng là ví dụ mới nhất cho việc các “hacker mũ trắng” chọn hợp tác với dự án để khắc phục lỗ hổng, sau những trường hợp trong quá khứ của Polygon (24 tỷ USD) và Solana (2,6 tỷ USD).
Tuy nhiên, không phải hacker nào cũng đi theo con đường cao thượng trên, dẫn đến nhiều vụ tấn công nghiêm trọng trong năm 2022 này như Ronin Network (622 triệu USD), Wormhole (325 triệu USD), Cashio (52,8 triệu USD) và Qubit (80 triệu USD).
Coin68 tổng hợp
Có thể bạn quan tâm:
