تكشف Thirdweb عن ضعف محتمل في النظام البيئي Web3 ؛ OpenZeppelin يحدد الأسباب الجذرية
Summary:
كشفت Thirdweb النقاب عن ثغرة أمنية في مكتبة مفتوحة المصدر مستخدمة على نطاق واسع يمكن أن تؤثر على العديد من العقود الذكية عبر نظام Web3 البيئي ، بما في ذلك DropERC20 و ERC721 و ERC1155 و AirdropERC20. يحدد OpenZeppelin المشكلة على أنها ناشئة عن تكامل معيارين محددين ، ERC-2771 و Multicall. أبلغت OpenZeppelin و Coinbase NFT و OpenSea المستخدمين بالتهديد ، ويقترح OpenZepplin طريقة من 4 خطوات للسلامة. وفي الوقت نفسه ، أصدرت Thirdweb أداة لمساعدة المستخدمين على تحديد نقاط الضعف في العقد ، وقامت منصة DeFi Velodrome بإلغاء تنشيط خدمات Relay مؤقتا.
تم الكشف مؤخرا عن خرق أمني مع تداعيات محتملة للعديد من العقود الذكية للنظام البيئي Web3 السائدة بواسطة Thirdweb. بعد الكشف ، حدد OpenZeppelin معيارين معينين كمصدر أولي للمخاطر. في 4 ديسمبر ، سلطت Thirdweb الضوء على خلل أمني في مكتبة مفتوحة المصدر مستخدمة على نطاق واسع ، والتي يمكن أن تؤثر على العقود المحددة مسبقا مثل DropERC20 و ERC721 و ERC1155 (جميع عمليات التسليم) و AirdropERC20.
كرد فعل على ذلك ، اتخذت OpenZepplin ، بالتعاون مع أسواق NFT Coinbase NFT و OpenSea ، مبادرة تثقيف مستخدميها فيما يتعلق بالتهديد. كشف التدقيق التفصيلي من قبل OpenZepplin أن هذه الثغرة الأمنية نشأت من الانصهار المعيب لمعيارين محددين: ERC-2771 و Multicall. اكتشف OpenZepplin 13 حالة من العقود الذكية الحساسة. لمنع استغلالها من قبل الكيانات الضارة ، نصحوا مزودي خدمة العملات المشفرة بتصحيح المشكلة على الفور.
كشف تحقيق OpenZepplin أن معيار ERC-2771 يسمح بتغيير بعض وظائف الاتصال. يمكن استغلال هذه الثغرة لاسترداد معلومات عنوان المرسل وانتحالها. قد يقوم المهاجمون بعد ذلك بتضمين عدة مكالمات مزيفة داخل مكالمة متعددة واحدة (بايت []). لتأمين أنظمتهم ، أوصى OpenZepplin بأن يتبع أعضاء مجتمع Web3 الذين يستخدمون عمليات الدمج هذه عملية أمان من 4 خطوات - إلغاء تنشيط كل وكيل توجيه موثوق به ، وإيقاف العقد وإلغاء الموافقات ، والتخطيط للترقية ، وتقييم خيارات اللقطة.
لمساعدة المستخدمين ، طرحت Thirdweb أداة تساعد في ربط محافظهم وتحديد ما إذا كان العقد في خطر. في الوقت نفسه ، اختارت منصة التمويل اللامركزي (DeFi) Velodrome تعطيل خدمات Relay الخاصة بها حتى يتم تشغيل إصدار جديد.
وفي مقال نشر مؤخرا في مجلة كوينتيليغراف، سلط الخبراء الضوء على كيفية مساهمة الذكاء الاصطناعي (الذكاء الاصطناعي) في تدقيق العقود الذكية وتعزيز تدابير الأمن السيبراني. رأى جيمس إدواردز ، المشرف الرئيسي على محقق الأمن السيبراني Librehash ، أنه على الرغم من أن روبوتات المحادثة الذكاء الاصطناعي لديها القدرة على إنشاء عقود ذكية ، إلا أن نشرها في بيئة العالم الحقيقي ينطوي على مخاطر. ومع ذلك ، أكد أيضا أنه يمكن استخدام التكنولوجيا الذكاء الاصطناعي لفحص العقود الذكية. أظهرت التجارب الحديثة قدرة الذكاء الاصطناعي على فحص العقود بدرجة قصوى من الدقة تتجاوز التوقعات وتتفوق على أداء GPT-4. بينما يقبل إدواردز أن الذكاء الاصطناعي ليست على قدم المساواة مع المدققين البشريين ، إلا أنه يعتقد أنها قادرة بالفعل على إجراء فحص أولي فعال ، وبالتالي تبسيط عمل المدقق وجعله أكثر شمولا.
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.