Thirdweb раскрывает потенциальную уязвимость экосистемы Web3; OpenZeppelin выявляет основные причины
Summary:
Thirdweb представила уязвимость безопасности в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на многие смарт-контракты в экосистеме Web3, включая DropERC20, ERC721, ERC1155 и AirdropERC20. OpenZeppelin считает, что проблема возникла из-за интеграции двух конкретных стандартов, ERC-2771 и Multicall. OpenZeppelin, Coinbase NFT и OpenSea проинформировали пользователей об угрозе, и OpenZepplin предлагает 4-ступенчатый метод безопасности. Между тем, Thirdweb выпустила инструмент, помогающий пользователям определить уязвимость контракта, а DeFi-платформа Velodrome временно отключила свои услуги Relay.
Недавно Thirdweb сообщила о нарушении безопасности с потенциальными последствиями для многочисленных распространенных смарт-контрактов экосистемы Web3. После разоблачения OpenZeppelin определил два конкретных стандарта в качестве первоначального источника риска. 4 декабря Thirdweb выявила уязвимость в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на заранее установленные контракты, такие как DropERC20, ERC721, ERC1155 (все воспроизведения) и AirdropERC20.
В ответ на это OpenZepplin в сотрудничестве с NFT-маркетплейсами Coinbase NFT и OpenSea взяла на себя инициативу по информированию своих пользователей об угрозе. Детальное исследование, проведенное OpenZepplin, показало, что эта уязвимость возникла из-за ошибочного слияния двух конкретных стандартов: ERC-2771 и Multicall. OpenZepplin обнаружил 13 экземпляров восприимчивых смарт-контрактов. Чтобы предотвратить их использование злоумышленниками, они посоветовали поставщикам криптовалютных услуг оперативно устранить проблему.
Расследование OpenZepplin показало, что стандарт ERC-2771 позволяет изменять некоторые функции вызова. Эта лазейка может быть использована для получения и подмены адресной информации отправителя. Затем злоумышленники могут внедрить несколько фальшивых вызовов в один multicall(bytes[]). Чтобы обезопасить свои системы, OpenZepplin рекомендовала членам сообщества Web3, использующим эти интеграции, следовать 4-этапному процессу безопасности — деактивировать каждого доверенного пересылщика, приостановить контракт и отозвать одобрения, спланировать обновление и оценить варианты снимков.
Чтобы помочь пользователям, Thirdweb развернул инструмент, который помогает подключить их кошельки и определить, находится ли контракт под угрозой. В то же время платформа децентрализованных финансов (DeFi) Velodrome решила отключить свои услуги Relay до тех пор, пока не будет запущена новая версия.
В недавней статье, опубликованной в журнале Cointelegraph Magazine, эксперты проливают свет на то, как искусственный интеллект (ИИ) может способствовать аудиту смарт-контрактов и усилению мер кибербезопасности. Джеймс Эдвардс, главный специалист по кибербезопасности компании Librehash, высказал мнение, что, хотя чат-боты с искусственным интеллектом обладают потенциалом для создания смарт-контрактов, их развертывание в реальных условиях сопряжено с рисками. Однако он также подчеркнул, что технология искусственного интеллекта может быть использована для проверки смарт-контрактов. Недавние эксперименты продемонстрировали способность ИИ проверять контракты с высочайшей степенью точности, превосходящей ожидания и затмевающей производительность GPT-4. Хотя Эдвардс признает, что ИИ еще не дотягивает до уровня одиторов-людей, он считает, что он уже способен выполнять эффективную предварительную проверку, тем самым оптимизируя работу аудитора и делая ее более тщательной.
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.