Thirdweb Divulga Potencial Vulnerabilidade do Ecossistema Web3; OpenZeppelin identifica causas raiz
Summary:
A Thirdweb revelou uma vulnerabilidade de segurança em uma biblioteca de código aberto amplamente usada que pode afetar muitos contratos inteligentes em todo o ecossistema Web3, incluindo DropERC20, ERC721, ERC1155 e AirdropERC20. OpenZeppelin identifica o problema como decorrente da integração de dois padrões específicos, ERC-2771 e Multicall. OpenZeppelin, Coinbase NFT e OpenSea informaram os usuários sobre a ameaça, e OpenZepplin sugere um método de 4 etapas para segurança. Enquanto isso, a Thirdweb lançou uma ferramenta para ajudar os usuários a determinar a vulnerabilidade do contrato, e a plataforma DeFi Velodrome desativou temporariamente seus serviços de retransmissão.
Uma violação de segurança com potenciais repercussões para inúmeros contratos inteligentes do ecossistema Web3 predominante foi recentemente divulgada pela Thirdweb. Após a revelação, o OpenZeppelin apontou dois padrões específicos como a fonte inicial do risco. Em 4 de dezembro, a Thirdweb trouxe à tona uma falha de segurança em uma biblioteca de código aberto amplamente utilizada, que poderia afetar contratos pré-estabelecidos como DropERC20, ERC721, ERC1155 (todas as rendições) e AirdropERC20.
Como reação a isso, a OpenZepplin, em colaboração com os mercados NFT Coinbase NFT e OpenSea, tomou a iniciativa de educar seus usuários sobre a ameaça. Um exame detalhado do OpenZepplin revelou que esta vulnerabilidade se originou da fusão falha de dois padrões específicos: ERC-2771 e Multicall. O OpenZepplin detectou 13 instâncias de contratos inteligentes suscetíveis. Para evitar sua exploração por entidades maliciosas, eles aconselharam os provedores de serviços de criptomoedas a corrigir o problema imediatamente.
A investigação da OpenZepplin revelou que o padrão ERC-2771 permite a alteração de certas funções de chamada. Essa brecha pode ser explorada para recuperar e falsificar as informações de endereço do remetente. Os invasores podem então incorporar várias chamadas falsas em uma única multichamada (bytes[]). Para proteger seus sistemas, o OpenZepplin recomendou que os membros da comunidade Web3 que usam essas integrações sigam um processo de segurança de 4 etapas — desative todos os encaminhadores confiáveis, interrompa o contrato e revogue as aprovações, planeje uma atualização e avalie as opções de snapshot.
Para ajudar os usuários, a Thirdweb lançou uma ferramenta que ajuda a conectar suas carteiras e determinar se um contrato está em risco. Ao mesmo tempo, a plataforma de finanças descentralizadas (DeFi) Velodrome optou por desativar seus serviços de Relay até que uma nova edição esteja em funcionamento.
Em um artigo recente na Cointelegraph Magazine, especialistas lançaram luz sobre como a inteligência artificial (IA) pode contribuir para a auditoria de contratos inteligentes e reforçar as medidas de segurança cibernética. James Edwards, principal mantenedor do investigador de segurança cibernética Librehash, opinou que, embora os chatbots de IA tenham o potencial de criar contratos inteligentes, sua implantação em um ambiente do mundo real traz riscos. No entanto, ele também enfatizou que a tecnologia de IA pode ser usada para vetar contratos inteligentes. Experimentos recentes demonstraram a capacidade da IA de inspecionar contratos com um grau extremo de precisão, superando as expectativas e eclipsando o desempenho do GPT-4. Embora Edwards aceite que a IA ainda não está no mesmo nível dos auditores humanos, ele acredita que ela já é capaz de realizar uma verificação preliminar eficaz, simplificando assim o trabalho do auditor e tornando-o mais completo.
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.