Une faille sur Convex Finance (CVX) aurait pu déclencher un rug pull de 15 milliards de dollars
La société d'audit OpenZeppelin vient de dévoiler qu'elle avait découvert une faille dans le code de Convex Finance (CVX) qui aurait pu mener à un rug pull de 15 milliards de dollars. Depuis, cela a été corrigé avec la collaboration des développeurs du projet. Faisons le point sur les détails de cette affaire, qui aurait pu causer une catastrophe dans le monde de la finance décentralisée.
Un potentiel rug pull évité sur Convex Finance
Lors d’un audit de sécurité sur le protocole Convex pour le compte de la plateforme Coinbase, la société spécialisée OpenZeppelin a mis à jour une faille qui aurait pu donner lieu à un rug pull de la totalité des fonds présents sur le protocole.
Pour rappel, Convex est une flywheel de Curve (CRV). Une flywheel est un protocole qui dépend d’un autre, afin de démultiplier les rendements que celui-ci propose initialement. Ainsi, il est possible de déposer ses CRV sur Convex plutôt que sur Curve, pour générer plus d’intérêts.
Cette affaire, détaillée aujourd’hui par la société d’audits, a été découverte à la fin 2021 et mettait alors en danger 15 milliards de dollars d’actifs, soit la valeur totale verrouillée (TVL) sur le projet au moment des faits.
Rugpull vulnerability patched in @ConvexFinance’s live contracts. $15 billion in TVL secured.
Summary in thread below. See blog for technical details.👇https://t.co/dAkUom9qX1
— OpenZeppelin (@OpenZeppelin) April 4, 2022
C’est un scénario catastrophe qui aurait pu se produire, si les développeurs avaient été mal intentionnés. En effet, les sommes en jeu représentaient à ce moment-là environ 10 % de la TVL du réseau Ethereum (ETH). Soit un peu plus de 6 % de l’ensemble de l’écosystème DeFi selon les données du site Defi Llama.
Le bug en question résidait dans le système de multisignature (multisig), si deux des trois signataires effectuaient une série d’actions bien précise, ils avaient alors accès à l’entièreté des fonds de la plateforme.
Heureusement, l’équipe de Convex n’avait nullement l’intention de déclencher un rug pull et un patch a été déployé le 14 décembre afin de corriger cette faille involontaire en rendant son utilisation impossible. Deux signataires dont l’identité est publique ont également été ajoutés au multisig dans le but d’augmenter le niveau de confiance.
? Pour aller plus loin – Découvrez notre guide pour garder vos cryptomonnaies en sécurité
Le livre de Cryptoast pour tout comprendre aux cryptosOpenZeppelin face à une situation difficile à gérer
Bien que la société d’audit ne doutait pas de l’honnêteté et de la bonne foi des développeurs, elle a dû faire face à une situation délicate en découvrant la faille. Pour cela, elle a dû faire des choix stratégiques pour ne pas mettre les fonds des utilisateurs en danger.
En effet, le correctif ne pouvant être déployé que par les développeurs du projet, elle s’est alors retrouvée avec trois possibilités :
- Dévoiler directement la faille à Convex, mais cela aurait pu déclencher le rug pull en cas de mauvaises attentions ;
- Rendre la faille publique, avec les mêmes risques que la première possibilité, tout en mettant en jeu la réputation du protocole ;
- S’assurer de l’honnêteté de l’équipe pour procéder par étapes.
C’est cette dernière solution qui a été privilégiée. Car même si la faille n’était pas intentionnelle, avoir la possibilité de s’emparer de 15 milliards de dollars peut présenter un risque de tentation élevé, d’autant plus que l’équipe fondatrice de Convex est anonyme.
OpenZeppelin s’est alors rapproché de l’équipe d’Immunefi, une plateforme permettant de mettre en place un système de primes pour quiconque découvre un bug dans un protocole. Cette dernière, louant ses services à Convex, a ainsi accepté de servir d’intermédiaire afin de mener à bien le processus de correction.
C’est donc une affaire qui s’est bien terminée et à même débouché sur une amélioration de la sécurité du protocole. Mais elle donne quand même des leçons intéressantes, car si une catastrophe d’ampleur a été évitée, cela nous rappelle que la DeFi est encore jeune et présente des risques dont il faut tenir compte dans sa stratégie d’investissement.
? Dans l’actualité également – Un hacker dérobe plus de 620 millions de dollars à la sidechain Ronin d’Axie Infinity
Source : OpenZeppelin
Binance : la plateforme d'échange crypto de référenceRecevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.
Ouyouille ! On a failli être dans la dèche !