Thirdweb rivela una potenziale vulnerabilità dell'ecosistema Web3; OpenZeppelin individua le cause principali
Summary:
Thirdweb ha svelato una vulnerabilità di sicurezza in una libreria open source ampiamente utilizzata che potrebbe interessare molti smart contract nell'ecosistema Web3, tra cui DropERC20, ERC721, ERC1155 e AirdropERC20. OpenZeppelin identifica il problema come derivante dall'integrazione di due standard specifici, ERC-2771 e Multicall. OpenZeppelin, Coinbase NFT e OpenSea hanno informato gli utenti della minaccia e OpenZepplin suggerisce un metodo in 4 fasi per la sicurezza. Nel frattempo, Thirdweb ha rilasciato uno strumento per aiutare gli utenti a determinare la vulnerabilità del contratto e la piattaforma DeFi Velodrome ha temporaneamente disattivato i suoi servizi Relay.
Una violazione della sicurezza con potenziali ripercussioni per numerosi smart contract dell'ecosistema Web3 prevalente è stata recentemente divulgata da Thirdweb. A seguito della rivelazione, OpenZeppelin ha individuato due particolari standard come la fonte iniziale del rischio. Il 4 dicembre, Thirdweb ha portato alla luce una falla di sicurezza in una libreria open source ampiamente utilizzata, che potrebbe interessare contratti prestabiliti come DropERC20, ERC721, ERC1155 (tutte le rappresentazioni) e AirdropERC20.
Come reazione a ciò, OpenZepplin, in collaborazione con i marketplace NFT Coinbase NFT e OpenSea, ha preso l'iniziativa di educare i propri utenti in merito alla minaccia. Un esame dettagliato da parte di OpenZepplin ha rivelato che questa vulnerabilità ha avuto origine dalla fusione difettosa di due standard specifici: ERC-2771 e Multicall. OpenZepplin ha rilevato 13 casi di smart contract sensibili. Per prevenire il loro sfruttamento da parte di entità malintenzionate, hanno consigliato ai fornitori di servizi di criptovaluta di correggere prontamente il problema.
L'indagine di OpenZepplin ha rivelato che lo standard ERC-2771 consente l'alterazione di alcune funzioni di chiamata. Questa scappatoia potrebbe essere sfruttata per recuperare e falsificare le informazioni sull'indirizzo del mittente. Gli aggressori possono quindi incorporare più chiamate false all'interno di una singola multicall(bytes[]). Per proteggere i propri sistemi, OpenZepplin ha raccomandato ai membri della comunità Web3 che utilizzano queste integrazioni di seguire un processo di sicurezza in 4 fasi: disattivare ogni inoltro affidabile, interrompere il contratto e revocare le approvazioni, pianificare un aggiornamento e valutare le opzioni di snapshot.
Per aiutare gli utenti, Thirdweb ha lanciato uno strumento che aiuta a collegare i loro portafogli e determinare se un contratto è a rischio. Allo stesso tempo, la piattaforma di finanza decentralizzata (DeFi) Velodrome ha scelto di disabilitare i suoi servizi Relay fino a quando non sarà attiva una nuova edizione.
In un recente articolo su Cointelegraph Magazine, gli esperti hanno fatto luce su come l'intelligenza artificiale (AI) possa contribuire all'audit degli smart contract e rafforzare le misure di sicurezza informatica. James Edwards, il principale manutentore dell'investigatore di sicurezza informatica Librehash, ha affermato che, sebbene i chatbot AI abbiano il potenziale per creare contratti intelligenti, la loro implementazione in un ambiente reale comporta dei rischi. Tuttavia, ha anche sottolineato che la tecnologia AI può essere utilizzata per controllare gli smart contract. Recenti esperimenti hanno dimostrato la capacità dell'IA di ispezionare i contratti con un grado di precisione estremo, superando le aspettative ed eclissando le prestazioni del GPT-4. Sebbene Edwards riconosca che l'IA non è ancora alla pari con i revisori umani, ritiene che sia già in grado di eseguire un controllo preliminare efficace, semplificando così il lavoro dell'auditor e rendendolo più approfondito.
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.