Thirdweb enthüllt potenzielle Schwachstellen im Web3-Ökosystem; OpenZeppelin lokalisiert die Ursachen
Summary:
Thirdweb hat eine Sicherheitslücke in einer weit verbreiteten Open-Source-Bibliothek aufgedeckt, die viele Smart Contracts im gesamten Web3-Ökosystem betreffen könnte, darunter DropERC20, ERC721, ERC1155 und AirdropERC20. OpenZeppelin identifiziert das Problem, das sich aus der Integration von zwei spezifischen Standards, ERC-2771 und Multicall, ergibt. OpenZeppelin, Coinbase NFT und OpenSea haben die Nutzer über die Bedrohung informiert, und OpenZepplin schlägt eine 4-stufige Methode für die Sicherheit vor. In der Zwischenzeit hat Thirdweb ein Tool veröffentlicht, mit dem Benutzer Vertragsschwachstellen ermitteln können, und die DeFi-Plattform Velodrome hat ihre Relay-Dienste vorübergehend deaktiviert.
Eine Sicherheitslücke mit potenziellen Auswirkungen auf zahlreiche weit verbreitete Smart Contracts des Web3-Ökosystems wurde kürzlich von Thirdweb bekannt gegeben. Nach der Enthüllung identifizierte OpenZeppelin zwei bestimmte Standards als ursprüngliche Quelle des Risikos. Am 4. Dezember brachte Thirdweb eine Sicherheitslücke in einer weit verbreiteten Open-Source-Bibliothek ans Licht, die sich auf bereits bestehende Verträge wie DropERC20, ERC721, ERC1155 (alle Wiedergabeversionen) und AirdropERC20 auswirken könnte.
Als Reaktion darauf hat OpenZepplin in Zusammenarbeit mit den NFT-Marktplätzen Coinbase NFT und OpenSea die Initiative ergriffen, ihre Nutzer über die Bedrohung aufzuklären. Eine detaillierte Untersuchung durch OpenZepplin ergab, dass diese Schwachstelle auf die fehlerhafte Verschmelzung zweier spezifischer Standards zurückzuführen ist: ERC-2771 und Multicall. OpenZepplin entdeckte 13 Fälle von anfälligen Smart Contracts. Um ihre Ausnutzung durch böswillige Entitäten zu verhindern, rieten sie den Kryptowährungsdienstleistern, das Problem umgehend zu beheben.
Die Untersuchung von OpenZepplin ergab, dass der ERC-2771-Standard die Änderung bestimmter Aufruffunktionen erlaubt. Dieses Schlupfloch könnte ausgenutzt werden, um die Adressinformationen des Absenders abzurufen und zu fälschen. Die Angreifer können dann mehrere gefälschte Aufrufe in einen einzigen multicall(bytes[]) einbetten. Um ihre Systeme zu sichern, empfahl OpenZepplin den Mitgliedern der Web3-Community, die diese Integrationen verwenden, einen 4-stufigen Sicherheitsprozess zu befolgen – jeden vertrauenswürdigen Spediteur zu deaktivieren, den Vertrag zu stoppen und Genehmigungen zu widerrufen, ein Upgrade zu planen und Snapshot-Optionen zu bewerten.
Um den Nutzern zu helfen, hat Thirdweb ein Tool eingeführt, das ihnen hilft, ihre Wallets zu verbinden und festzustellen, ob ein Vertrag gefährdet ist. Gleichzeitig hat die dezentrale Finanzplattform (DeFi) Velodrome beschlossen, ihre Relay-Dienste zu deaktivieren, bis eine neue Ausgabe verfügbar ist.
In einem kürzlich erschienenen Artikel im Cointelegraph Magazine beleuchten Experten, wie künstliche Intelligenz (KI) zur Prüfung von Smart Contracts beitragen und Cybersicherheitsmaßnahmen stärken kann. James Edwards, der Hauptbetreuer des Cybersicherheitsforschers Librehash, ist der Meinung, dass KI-Chatbots zwar das Potenzial haben, Smart Contracts zu erstellen, ihr Einsatz in einer realen Umgebung jedoch Risiken birgt. Er betonte jedoch auch, dass die KI-Technologie zur Überprüfung von Smart Contracts eingesetzt werden kann. Jüngste Experimente haben gezeigt, dass KI in der Lage ist, Verträge mit einem extremen Maß an Genauigkeit zu inspizieren, die Erwartungen zu übertreffen und die Leistung von GPT-4 in den Schatten zu stellen. Edwards räumt zwar ein, dass KI noch nicht auf Augenhöhe mit menschlichen Prüfern ist, glaubt aber, dass sie bereits in der Lage ist, eine effektive Vorprüfung durchzuführen und dadurch die Arbeit des Prüfers zu rationalisieren und gründlicher zu gestalten.
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.