Une faille sur Convex Finance (CVX) aurait pu déclencher un rug pull de 15 milliards de dollars

La société d'audit OpenZeppelin vient de dévoiler qu'elle avait découvert une faille dans le code de Convex Finance (CVX) qui aurait pu mener à un rug pull de 15 milliards de dollars. Depuis, cela a été corrigé avec la collaboration des développeurs du projet. Faisons le point sur les détails de cette affaire, qui aurait pu causer une catastrophe dans le monde de la finance décentralisée.

le 5 avril 2022 à 19:00.

3 minutes de lecture

author image

Vincent Maire

Une faille sur Convex Finance (CVX) aurait pu déclencher un rug pull de 15 milliards de dollars

Un potentiel rug pull évité sur Convex Finance

Lors d’un audit de sécurité sur le protocole Convex pour le compte de la plateforme Coinbase, la société spécialisée OpenZeppelin a mis à jour une faille qui aurait pu donner lieu à un rug pull de la totalité des fonds présents sur le protocole.

Pour rappel, Convex est une flywheel de Curve (CRV). Une flywheel est un protocole qui dépend d’un autre, afin de démultiplier les rendements que celui-ci propose initialement. Ainsi, il est possible de déposer ses CRV sur Convex plutôt que sur Curve, pour générer plus d’intérêts.

Cette affaire, détaillée aujourd’hui par la société d’audits, a été découverte à la fin 2021 et mettait alors en danger 15 milliards de dollars d’actifs, soit la valeur totale verrouillée (TVL) sur le projet au moment des faits.

C’est un scénario catastrophe qui aurait pu se produire, si les développeurs avaient été mal intentionnés. En effet, les sommes en jeu représentaient à ce moment-là environ 10 % de la TVL du réseau Ethereum (ETH). Soit un peu plus de 6 % de l’ensemble de l’écosystème DeFi selon les données du site Defi Llama.

Le bug en question résidait dans le système de multisignature (multisig), si deux des trois signataires effectuaient une série d’actions bien précise, ils avaient alors accès à l’entièreté des fonds de la plateforme.

Heureusement, l’équipe de Convex n’avait nullement l’intention de déclencher un rug pull et un patch a été déployé le 14 décembre afin de corriger cette faille involontaire en rendant son utilisation impossible. Deux signataires dont l’identité est publique ont également été ajoutés au multisig dans le but d’augmenter le niveau de confiance.

? Pour aller plus loin – Découvrez notre guide pour garder vos cryptomonnaies en sécurité

Commander notre Livre pour tout comprendre aux cryptos

Publié aux Éditions Larousse

toaster icon

Disponible sur Amazon, Fnac, Cultura, en librairies...

OpenZeppelin face à une situation difficile à gérer

Bien que la société d’audit ne doutait pas de l’honnêteté et de la bonne foi des développeurs, elle a dû faire face à une situation délicate en découvrant la faille. Pour cela, elle a dû faire des choix stratégiques pour ne pas mettre les fonds des utilisateurs en danger.

En effet, le correctif ne pouvant être déployé que par les développeurs du projet, elle s’est alors retrouvée avec trois possibilités :

  • Dévoiler directement la faille à Convex, mais cela aurait pu déclencher le rug pull en cas de mauvaises attentions ;
  • Rendre la faille publique, avec les mêmes risques que la première possibilité, tout en mettant en jeu la réputation du protocole ;
  • S’assurer de l’honnêteté de l’équipe pour procéder par étapes.

C’est cette dernière solution qui a été privilégiée. Car même si la faille n’était pas intentionnelle, avoir la possibilité de s’emparer de 15 milliards de dollars peut présenter un risque de tentation élevé, d’autant plus que l’équipe fondatrice de Convex est anonyme.

OpenZeppelin s’est alors rapproché de l’équipe d’Immunefi, une plateforme permettant de mettre en place un système de primes pour quiconque découvre un bug dans un protocole. Cette dernière, louant ses services à Convex, a ainsi accepté de servir d’intermédiaire afin de mener à bien le processus de correction.

C’est donc une affaire qui s’est bien terminée et à même débouché sur une amélioration de la sécurité du protocole. Mais elle donne quand même des leçons intéressantes, car si une catastrophe d’ampleur a été évitée, cela nous rappelle que la DeFi est encore jeune et présente des risques dont il faut tenir compte dans sa stratégie d’investissement.

? Dans l’actualité également – Un hacker dérobe plus de 620 millions de dollars à la sidechain Ronin d’Axie Infinity

Source : OpenZeppelin

Binance : la plateforme d'échange crypto de référence
Publicité - Investir comporte des risques (en savoir plus)
Newsletter 🍞

Recevez un récapitulatif de l'actualité crypto chaque lundi par mail 👌

Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.


Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.


Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.


Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.

author profile picture

Je découvre timidement le monde de la blockchain fin 2018 lors de ma quête de liberté financière. D'abord investi modérément, ce n'est que deux ans plus tard que je prends le pari de tout miser sur le mouvement qui se dessine alors. Je consacre ensuite 2021 à mieux me former pour acquérir plus de connaissances et de sérieux. Comme j'aime souvent le dire : j'ai encore un milliard de choses à apprendre. Et ce que je sais, je souhaite le partager avec vous.

Vincent Maire

1162 articles

Tous ses articles

Subscribe
Me notifier des
guest
1 Commentaire
Inline Feedbacks
View all comments
Jean Roston

Ouyouille ! On a failli être dans la dèche !

Répondre

D'autres articles sur DeFi

Voir plus
Tout voir

Cryptoast

Le site qui explique tout de A à Z sur le Bitcoin, la blockchain et les crypto-monnaies. Des actualités et des articles explicatifs pour découvrir et progresser dans ces secteurs !


Les articles les plus lus

La confiscation des actifs russes par les États-Unis pourrait alimenter la dédollarisation, selon des analystes

La confiscation des actifs russes par les États-Unis pourrait alimenter la dédollarisation, selon des analystes

 Voici comment détecter le bull run du Bitcoin (BTC) à l'aide des données on-chain

Voici comment détecter le bull run du Bitcoin (BTC) à l'aide des données on-chain

 « Un abus de pouvoir flagrant » – Deux avocats de la Securities and Exchange Commission (SEC) démissionnent

« Un abus de pouvoir flagrant » – Deux avocats de la Securities and Exchange Commission (SEC) démissionnent

 France : Kucoin a été discrètement ajouté à la liste noire de l'Autorité des marchés financiers (AMF)

France : Kucoin a été discrètement ajouté à la liste noire de l'Autorité des marchés financiers (AMF)