OpenZeppelin, perusahaan audit keamanan untuk Coinbase, mengidentifikasi kerentanan rugpull senilai $15 miliar di Convex Finance dan pengembang anonimnya kemudian telah menutup celah risiko tersebut. Penemuan mengejutkan ini terjadi selama tinjauan keamanan protokol Convex Finance.

Bug Hanya Dapat Dieksploitasi Dari Dalam

Tim Riset Keamanan OpenZeppelin menemukan pada akhir tahun 2021 yang lalu bahwa bug yang signifikan dalam protokol dapat menyebabkan risiko bagi aset yang terkunci senilai $15 miliar. Penyelidikan mengungkapkan bahwa “jika dua dari tiga penandatangan multisig Convex mengeksekusi serangkaian langkah tertentu, pengguna akan dapat mengakses semua token LP yang di stacking di pools target dan dengan demikian akan dapat melakukan rugpull dan mencuri semua aset dari yang terdapat dalam pools.”

Dokumentasi dari Convex pada saat itu menyatakan bahwa kerentanan seperti itu tidak akan terjadi pada pools LP-nya. Namun, temuan dari tim keamanan kemudian mengidentifikasi cara untuk mengeksploitasi kerentanan dan untungnya telah ditambal oleh Convex pada 14 Desember 2021 yang lalu.

Convex Finance adalah protokol sumber terbuka yang pengembangnya tetap menjadi anonim sejak diluncurkan hingga saat ini. Dalam hal ini, seperti yang dijelaskan oleh OpenZeppelin, hanya pengembang Convex Finance sajalah yang benar-benar dapat mengeksploitasi kerentanan ini. Pengungkapan mengenai insiden tersebut menjadi sangat rumit karena sifat anonimitas dari Convex Finance.

Komplikasi Pengungkapan

Setelah menganalisis kode dan upaya yang diperlukan oleh Convex untuk mengeksploitasi kerentanan, OpenZeppelin menegaskan bahwa kerentanan tersebut tidak disengaja dan bahwa pengembang Convex adalah aktor yang memiliki beritikad baik.

“Pengungkapan publik akan menciptakan insentif yang merugikan bagi pengembang Convex” dan berkontribusi pada hilangnya anonimitas yang penting bagi tim Convex. Karena itu, OpenZeppelin memutuskan untuk menghubungi Immunefi sebuah platform pemberi hadiah bug terkemuka Web3 untuk dapat melakukan pengenalan perantara antara OpenZeppelin dan Convex.

Setelah kedua belah pihak setuju untuk mengundang entitas yang dikenal publik ke multisig, sehingga membuat potendi rugpull dapat tertangani. OpenZeppelin mengungkapkan bug tersebut ke Convex atas dasar memiliki jaminan tim untuk tidak mengambil keuntungan dari kerentanan tersebut. Convex menangani masalah tersebut segera setelah itu dan dengan demikian menghentikan risiko rugpull yang bernilai $15 miliar.

Referensi :

https://cryptopotato.com/openzeppelin-found-potential-15b-rugpull-in-convex-finance/