Thirdweb révèle la vulnérabilité potentielle de l’écosystème Web3 ; OpenZeppelin identifie les causes profondes
Summary:
Thirdweb a dévoilé une faille de sécurité dans une bibliothèque open source largement utilisée qui pourrait affecter de nombreux contrats intelligents de l’écosystème Web3, notamment DropERC20, ERC721, ERC1155 et AirdropERC20. OpenZeppelin identifie le problème comme résultant de l’intégration de deux normes spécifiques, ERC-2771 et Multicall. OpenZeppelin, Coinbase NFT et OpenSea ont informé les utilisateurs de la menace, et OpenZepplin suggère une méthode en 4 étapes pour la sécurité. Pendant ce temps, Thirdweb a publié un outil pour aider les utilisateurs à déterminer la vulnérabilité des contrats, et la plateforme DeFi Velodrome a temporairement désactivé ses services Relay.
Une faille de sécurité avec des répercussions potentielles sur de nombreux contrats intelligents de l’écosystème Web3 a récemment été divulguée par Thirdweb. À la suite de cette révélation, OpenZeppelin a identifié deux normes particulières comme source initiale du risque. Le 4 décembre, Thirdweb a mis en lumière une faille de sécurité dans une bibliothèque open source largement utilisée, qui pourrait affecter des contrats préétablis comme DropERC20, ERC721, ERC1155 (toutes les versions) et AirdropERC20.
En réaction à cela, OpenZepplin, en collaboration avec les places de marché NFT Coinbase NFT et OpenSea, a pris l’initiative d’éduquer ses utilisateurs sur la menace. Un examen minutieux par OpenZepplin a révélé que cette vulnérabilité provenait de la fusion défectueuse de deux normes spécifiques : ERC-2771 et Multicall. OpenZepplin a détecté 13 cas de contrats intelligents sensibles. Pour empêcher leur exploitation par des entités malveillantes, ils ont conseillé aux fournisseurs de services de crypto-monnaie de rectifier rapidement le problème.
L’enquête d’OpenZepplin a révélé que la norme ERC-2771 permet de modifier certaines fonctions d’appel. Cette faille pourrait être exploitée pour récupérer et usurper l’adresse de l’expéditeur. Les attaquants peuvent alors intégrer plusieurs faux appels dans un seul multicall (bytes[]). Pour sécuriser ses systèmes, OpenZepplin a recommandé aux membres de la communauté Web3 utilisant ces intégrations de suivre un processus de sécurité en 4 étapes : désactiver tous les redirecteurs de confiance, arrêter le contrat et révoquer les approbations, planifier une mise à niveau et évaluer les options d’instantanés.
Pour aider les utilisateurs, Thirdweb a déployé un outil qui les aide à connecter leurs portefeuilles et à déterminer si un contrat est à risque. Dans le même temps, la plateforme de finance décentralisée (DeFi) Vélodrome a choisi de désactiver ses services Relay jusqu’à ce qu’une nouvelle édition soit opérationnelle.
Dans un article récent du magazine Cointelegraph, des experts ont fait la lumière sur la façon dont l’intelligence artificielle (IA) peut contribuer à l’audit des contrats intelligents et renforcer les mesures de cybersécurité. James Edwards, le principal responsable de la maintenance de l’enquêteur en cybersécurité Librehash, a estimé que bien que les chatbots d’IA aient le potentiel de créer des contrats intelligents, leur déploiement dans un environnement réel comporte des risques. Cependant, il a également souligné que la technologie de l’IA peut être utilisée pour vérifier les contrats intelligents. Des expériences récentes ont démontré la capacité de l’IA à inspecter les contrats avec un degré extrême de précision, dépassant les attentes et éclipsant les performances de GPT-4. Bien qu’Edwards admette que l’IA n’est pas encore à la hauteur des auditeurs humains, il pense qu’elle est déjà capable d’effectuer une vérification préliminaire efficace, rationalisant ainsi le travail de l’auditeur et le rendant plus approfondi.
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.