Une faille sur Convex Finance (CVX) aurait pu déclencher un rug pull de 15 milliards de dollars

La société d'audit OpenZeppelin vient de dévoiler qu'elle avait découvert une faille dans le code de Convex Finance (CVX) qui aurait pu mener à un rug pull de 15 milliards de dollars. Depuis, cela a été corrigé avec la collaboration des développeurs du projet. Faisons le point sur les détails de cette affaire, qui aurait pu causer une catastrophe dans le monde de la finance décentralisée.

Une faille sur Convex Finance (CVX) aurait pu déclencher un rug pull de 15 milliards de dollars

Un potentiel rug pull évité sur Convex Finance

Lors d’un audit de sécurité sur le protocole Convex pour le compte de la plateforme Coinbase, la société spécialisée OpenZeppelin a mis à jour une faille qui aurait pu donner lieu à un rug pull de la totalité des fonds présents sur le protocole.

Pour rappel, Convex est une flywheel de Curve (CRV). Une flywheel est un protocole qui dépend d’un autre, afin de démultiplier les rendements que celui-ci propose initialement. Ainsi, il est possible de déposer ses CRV sur Convex plutôt que sur Curve, pour générer plus d’intérêts.

Cette affaire, détaillée aujourd’hui par la société d’audits, a été découverte à la fin 2021 et mettait alors en danger 15 milliards de dollars d’actifs, soit la valeur totale verrouillée (TVL) sur le projet au moment des faits.

C’est un scénario catastrophe qui aurait pu se produire, si les développeurs avaient été mal intentionnés. En effet, les sommes en jeu représentaient à ce moment-là environ 10 % de la TVL du réseau Ethereum (ETH). Soit un peu plus de 6 % de l’ensemble de l’écosystème DeFi selon les données du site Defi Llama.

Le bug en question résidait dans le système de multisignature (multisig), si deux des trois signataires effectuaient une série d’actions bien précise, ils avaient alors accès à l’entièreté des fonds de la plateforme.

Heureusement, l’équipe de Convex n’avait nullement l’intention de déclencher un rug pull et un patch a été déployé le 14 décembre afin de corriger cette faille involontaire en rendant son utilisation impossible. Deux signataires dont l’identité est publique ont également été ajoutés au multisig dans le but d’augmenter le niveau de confiance.

? Pour aller plus loin – Découvrez notre guide pour garder vos cryptomonnaies en sécurité

Le livre de Cryptoast pour tout comprendre aux cryptos
Publicité

OpenZeppelin face à une situation difficile à gérer

Bien que la société d’audit ne doutait pas de l’honnêteté et de la bonne foi des développeurs, elle a dû faire face à une situation délicate en découvrant la faille. Pour cela, elle a dû faire des choix stratégiques pour ne pas mettre les fonds des utilisateurs en danger.

En effet, le correctif ne pouvant être déployé que par les développeurs du projet, elle s’est alors retrouvée avec trois possibilités :

  • Dévoiler directement la faille à Convex, mais cela aurait pu déclencher le rug pull en cas de mauvaises attentions ;
  • Rendre la faille publique, avec les mêmes risques que la première possibilité, tout en mettant en jeu la réputation du protocole ;
  • S’assurer de l’honnêteté de l’équipe pour procéder par étapes.

C’est cette dernière solution qui a été privilégiée. Car même si la faille n’était pas intentionnelle, avoir la possibilité de s’emparer de 15 milliards de dollars peut présenter un risque de tentation élevé, d’autant plus que l’équipe fondatrice de Convex est anonyme.

OpenZeppelin s’est alors rapproché de l’équipe d’Immunefi, une plateforme permettant de mettre en place un système de primes pour quiconque découvre un bug dans un protocole. Cette dernière, louant ses services à Convex, a ainsi accepté de servir d’intermédiaire afin de mener à bien le processus de correction.

C’est donc une affaire qui s’est bien terminée et à même débouché sur une amélioration de la sécurité du protocole. Mais elle donne quand même des leçons intéressantes, car si une catastrophe d’ampleur a été évitée, cela nous rappelle que la DeFi est encore jeune et présente des risques dont il faut tenir compte dans sa stratégie d’investissement.

? Dans l’actualité également – Un hacker dérobe plus de 620 millions de dollars à la sidechain Ronin d’Axie Infinity

Source : OpenZeppelin

Ouvrir un compte sur Binance, la plateforme crypto n°1 au monde
Publicité - Investir comporte des risques (en savoir plus)
La Newsletter crypto n°1 🍞

Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌

Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission.


Les investissements dans les crypto-monnaies sont risqués. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital

Subscribe
Me notifier des
guest
1 Commentaire
Inline Feedbacks
View all comments
Jean Roston

Ouyouille ! On a failli être dans la dèche !

Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

« Nous n’avons pas le droit de posséder des bitcoins » : Jerome Powell entraîne la baisse des cryptomonnaies

Salvador : Bukele achète 1 million de dollars de Bitcoins 24 heures après son accord avec le FMI

Salvador : Bukele achète 1 million de dollars de Bitcoins 24 heures après son accord avec le FMI

1 milliard de dollars de liquidations : le marché crypto voit rouge

1 milliard de dollars de liquidations : le marché crypto voit rouge

Bitcoin (BTC) : un utilisateur paie 800 000 dollars de frais pour une seule transaction

Bitcoin (BTC) : un utilisateur paie 800 000 dollars de frais pour une seule transaction