Thirdweb revela una posible vulnerabilidad del ecosistema Web3; OpenZeppelin identifica las causas raíz
Summary:
Thirdweb ha desvelado una vulnerabilidad de seguridad en una biblioteca de código abierto ampliamente utilizada que podría afectar a muchos contratos inteligentes en todo el ecosistema Web3, incluidos DropERC20, ERC721, ERC1155 y AirdropERC20. OpenZeppelin identifica el problema como derivado de la integración de dos estándares específicos, ERC-2771 y Multicall. OpenZeppelin, Coinbase NFT y OpenSea han informado a los usuarios sobre la amenaza, y OpenZepplin sugiere un método de 4 pasos para la seguridad. Mientras tanto, Thirdweb ha lanzado una herramienta para ayudar a los usuarios a determinar la vulnerabilidad de los contratos, y la plataforma DeFi Velodrome ha desactivado temporalmente sus servicios de retransmisión.
Thirdweb ha revelado recientemente una brecha de seguridad con posibles repercusiones para numerosos contratos inteligentes prevalentes en el ecosistema Web3. Tras la revelación, OpenZeppelin señaló dos estándares particulares como la fuente inicial del riesgo. El 4 de diciembre, Thirdweb sacó a la luz una falla de seguridad en una biblioteca de código abierto ampliamente utilizada, que podría afectar contratos preestablecidos como DropERC20, ERC721, ERC1155 (todas las representaciones) y AirdropERC20.
Como reacción a esto, OpenZepplin, en colaboración con los mercados de NFT Coinbase NFT y OpenSea, tomó la iniciativa de educar a sus usuarios sobre la amenaza. Un escrutinio detallado por parte de OpenZepplin reveló que esta vulnerabilidad se originó a partir de la fusión defectuosa de dos estándares específicos: ERC-2771 y Multicall. OpenZepplin detectó 13 casos de contratos inteligentes susceptibles. Para evitar su explotación por parte de entidades maliciosas, aconsejaron a los proveedores de servicios de criptomonedas que rectifiquen el problema con prontitud.
La investigación de OpenZepplin reveló que el estándar ERC-2771 permite la alteración de ciertas funciones de llamada. Esta laguna podría aprovecharse para recuperar y falsificar la información de la dirección del remitente. A continuación, los atacantes pueden incrustar varias llamadas falsas dentro de una sola multillamada (bytes[]). Para proteger sus sistemas, OpenZepplin recomendó que los miembros de la comunidad Web3 que utilizan estas integraciones sigan un proceso de seguridad de 4 pasos: desactivar todos los reenviadores de confianza, detener el contrato y revocar las aprobaciones, planificar una actualización y evaluar las opciones de instantáneas.
Para ayudar a los usuarios, Thirdweb lanzó una herramienta que ayuda a conectar sus billeteras y determinar si un contrato está en riesgo. Al mismo tiempo, la plataforma de finanzas descentralizadas (DeFi) Velodrome optó por desactivar sus servicios de retransmisión hasta que se ponga en marcha una nueva edición.
En un artículo reciente en Cointelegraph Magazine, los expertos arrojan luz sobre cómo la inteligencia artificial (IA) puede contribuir a la auditoría de los contratos inteligentes y reforzar las medidas de ciberseguridad. James Edwards, el principal mantenedor del investigador de ciberseguridad Librehash, opinó que, aunque los chatbots de IA tienen el potencial de crear contratos inteligentes, su implementación en un entorno del mundo real conlleva riesgos. Sin embargo, también enfatizó que la tecnología de IA se puede utilizar para examinar los contratos inteligentes. Experimentos recientes demostraron la capacidad de la IA para inspeccionar contratos con un grado extremo de precisión, superando las expectativas y eclipsando el rendimiento de GPT-4. Si bien Edwards acepta que la IA aún no está a la par con los auditores humanos, cree que ya es capaz de realizar una verificación preliminar efectiva, lo que agiliza el trabajo del auditor y lo hace más completo.
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.