Une faille sur Convex Finance (CVX) aurait pu déclencher un rug pull de 15 milliards de dollars

Un potentiel rug pull évité sur Convex Finance

Lors d’un audit de sécurité sur le protocol Convex pour le compte de la plateforme Coinbase, la société spécialisée OpenZeppelin a mis à jour une faille qui aurait pu donner lieu à un rug pull de la totalité des fonds présents sur le protocole.

Pour rappel, Convex est une flywheel de Curve (CRV). Une flywheel est un protocole qui dépend d’un autre, afin de démultiplier les rendements que celui-ci propose initialement. Ainsi, il est possible de déposer ses CRV sur Convex plutôt que sur Curve, pour générer plus d’intérêts.

Cette affaire, détaillée aujourd’hui par la société d’audits, a été découverte à la fin 2021 et mettait alors en danger 15 milliards de dollars d’actifssoit la valeur totale verrouillée (TVL) sur le projet au moment des faits.

C’est un scénario catastrophe qui aurait pu se produire, si les développeurs avaient été mal intentionnés. En effet, les sommes en jeu représentaient à ce moment-là environ 10% de la TVL du réseau Ethereum (ETH). Sweet un peu plus de 6% de l’ensemble de l’écosystème DeFi selon les données du site Defi Llama.

Le bug en question résidait dans le système de multisignature (multisig), si deux des trois signataires effectuaient une série d’actions bien précise, ils avaient alors accès à l’entièreté des fonds de la plateforme.

Heureusement, l’équipe de Convex n’avait nullement l’intention de déclencher un rug pull et un patch a été déployé le 14 decembre afin de corriger cette faille involontaire en rendant son utilisation impossible. Deux signataires dont l’identité est publique ont égallement été ajoutés au multisig dans le but d’augmenter le niveau de confiance.

👉 Pour aller plus loin – Découvrez notre guide pour garder vos cryptomonnaies en sécurité

OpenZeppelin face à une situation difficile à gérer

Bien que la société d’audit ne dutait pas de l’honnêteté et de la bonne foi des développeurs, elle a dû faire face à une situation délicate en découvrant la faille. Pour cela, elle a dû faire des choix stratégiques pour ne pas mettre les fonds des utilisateurs en danger.

En effet, le correctif ne pouvant être déployé que par les développeurs du projet, elle s’est alors retrouvée avec trois possibilites :

  • Dévoiler directement la faille à Convex, mais cela aurait pu déclencher le rug pull en cas de mauvaises attentions ;
  • Rendre la faille publique, avec les mimes risques que la première possibilité, tout en mettant en jeu la réputation du protocole ;
  • S’assurer de l’honnêteté de l’équipe pour procéder par étapes.

C’est cette dernière solution qui a été privilégiée. Car même si la faille n’était pas intentionnelle, avoir la possibilité de s’emparer de 15 milliards de dollars peut présenter un risque de tentation élevéd’autant plus que l’équipe fondatrice de Convex est anonyme.

OpenZeppelin s’est allors rapproché de l’équipe d’Immunefi, une plateforme permettant de mettre en place un système de primes pour quiconque découvre un bug dans un protocole. Cette dernière, louant ses services à Convex, ainsi accepté de servir d’intermédiaire afin de mener à bien le processus de correction.

C’est donc une affaire qui s’est bien terminée et à même débouché sur une amelioration de la sécurité du protocol. Mais elle donne quand même des leçons intéressantes, car si une catastrophe d’ampleur a été évitéecela nous rappelle que la DeFi est encore jeune et présente des risques dont il faut tenir compte dans sa stratégie d’investissement.

👉 Dans l’actualité égallement – ​​Un hacker dérobe plus de 620 millions de dollars à la sidechain Ronin d’Axie Infinity

Source : OpenZeppelin

Newsletter 🍞

Recevez un récapitulatif de l’actualité crypto chaque dimanche 👌 Et c’est tout.

Ce qu’il faut savoir sur les liens d’affiliation. Cette page présente des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article sont affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continue à vous proposer des contenus originaux et utiles. Il n’y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.

Les investissements dans les crypto-monnaies sont risqués. Cryptoast n’est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l’utilisation d’un mis bient ou service article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d’entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.

A proppos de l’auteur : Vincent Maire

twitter-soothsayerdata

Je découvre timidement le monde de la blockchain fin 2018 lors de ma quête de liberté financière. D’abord investi modérément, ce n’est que deux ans plus tard que je prends le pari de tout miser sur le mouvement qui se dessine alors. Je consacre ensuite 2021 à mieux me former pour acquérir plus de connaissances et de sérieux. Comme j’aime souvent le dire : j’ai encore un milliard de choses à apprendre. Et ce que je sais, je souhaite le partager avec vous.
Tous les articles de Vincent Maire.

Leave a Comment