Thirdweb, Web3 Ekosistemindeki Potansiyel Güvenlik Açığını Açıkladı; OpenZeppelin Kök Nedenleri Belirler
Summary:
Thirdweb, yaygın olarak kullanılan bir açık kaynak kitaplığında DropERC20, ERC721, ERC1155 ve AirdropERC20 dahil olmak üzere Web3 ekosistemindeki birçok akıllı sözleşmeyi etkileyebilecek bir güvenlik açığını ortaya çıkardı. OpenZeppelin, sorunu ERC-2771 ve Multicall olmak üzere iki özel standardın entegrasyonundan kaynaklanıyor olarak tanımlıyor. OpenZeppelin, Coinbase NFT ve OpenSea, kullanıcıları tehdit hakkında bilgilendirdi ve OpenZepplin güvenlik için 4 adımlı bir yöntem önerdi. Bu arada Thirdweb, kullanıcıların sözleşme güvenlik açığını belirlemelerine yardımcı olacak bir araç yayınladı ve DeFi platformu Velodrome, Relay hizmetlerini geçici olarak devre dışı bıraktı.
Çok sayıda yaygın Web3 ekosistemi akıllı sözleşmesi için potansiyel yansımaları olan bir güvenlik ihlali, yakın zamanda Thirdweb tarafından açıklandı. Ortaya çıktıktan sonra OpenZeppelin, riskin ilk kaynağı olarak iki özel standart belirledi. 4 Aralık'ta Thirdweb, yaygın olarak kullanılan bir açık kaynak kitaplığında DropERC20, ERC721, ERC1155 (tüm yorumlamalar) ve AirdropERC20 gibi önceden oluşturulmuş sözleşmeleri etkileyebilecek bir güvenlik açığını gün ışığına çıkardı.
Buna bir tepki olarak OpenZepplin, NFT pazar yerleri Coinbase NFT ve OpenSea ile işbirliği içinde, kullanıcılarını tehdit konusunda eğitme girişiminde bulundu. OpenZepplin tarafından yapılan ayrıntılı inceleme, bu güvenlik açığının iki özel standardın kusurlu birleşiminden kaynaklandığını ortaya çıkardı: ERC-2771 ve Multicall. OpenZepplin, 13 hassas akıllı sözleşme örneği tespit etti. Kötü niyetli varlıklar tarafından istismar edilmelerini önlemek için, kripto para birimi hizmet sağlayıcılarına sorunu derhal düzeltmelerini tavsiye ettiler.
OpenZepplin'in araştırması, ERC-2771 standardının belirli çağrı işlevlerinin değiştirilmesine izin verdiğini ortaya çıkardı. Bu boşluk, gönderenin adres bilgilerini almak ve taklit etmek için kullanılabilir. Saldırganlar daha sonra tek bir çoklu çağrıya birden çok sahte çağrı yerleştirebilir (bayt[]). OpenZepplin, sistemlerini güvence altına almak için bu entegrasyonları kullanan Web3 topluluğu üyelerinin 4 adımlı bir güvenlik sürecini izlemelerini tavsiye etti - her güvenilir ileticiyi devre dışı bırakın, sözleşmeyi durdurun ve onayları iptal edin, bir yükseltme planlayın ve anlık görüntü seçeneklerini değerlendirin.
Kullanıcılara yardımcı olmak için Thirdweb, cüzdanlarını bağlamaya ve bir sözleşmenin risk altında olup olmadığını belirlemeye yardımcı olan bir araç sundu. Aynı zamanda, merkezi olmayan finans (DeFi) platformu Velodrome, yeni bir sürüm yayınlanana kadar Relay hizmetlerini devre dışı bırakmayı seçti.
Cointelegraph Magazine'de yakın zamanda yayınlanan bir makalede uzmanlar, yapay zekanın (AI) akıllı sözleşmelerin denetimine nasıl katkıda bulunabileceğine ve siber güvenlik önlemlerini nasıl destekleyebileceğine ışık tuttu. Siber güvenlik araştırmacısı Librehash'in ana sorumlusu James Edwards, yapay zeka sohbet robotlarının akıllı sözleşmeler oluşturma potansiyeline sahip olmasına rağmen, gerçek dünya ortamında konuşlandırılmalarının riskler taşıdığını belirtti. Bununla birlikte, yapay zeka teknolojisinin akıllı sözleşmeleri incelemek için kullanılabileceğini de vurguladı. Son deneyler, yapay zekanın sözleşmeleri aşırı derecede doğrulukla inceleme yeteneğini, beklentileri aştığını ve GPT-4'ün performansını gölgede bıraktığını gösterdi. Edwards, yapay zekanın henüz insan denetçilerle aynı seviyede olmadığını kabul etse de, halihazırda etkili bir ön kontrol gerçekleştirebileceğine, böylece denetçinin işini kolaylaştırabileceğine ve daha kapsamlı hale getirebileceğine inanıyor.
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.