Thirdweb 披露了潜在的 Web3 生态系统漏洞;OpenZeppelin 查明根本原因
Summary:
Thirdweb 在一个广泛使用的开源库中发现了一个安全漏洞,该漏洞可能会影响整个 Web3 生态系统中的许多智能合约,包括 DropERC20、ERC721、ERC1155 和 AirdropERC20。OpenZeppelin 将问题确定为两个特定标准(ERC-2771 和 Multicall)的集成。OpenZeppelin、Coinbase NFT 和 OpenSea 已将威胁告知用户,OpenZepplin 建议采用 4 步安全方法。同时,Thirdweb 发布了一个工具来帮助用户确定合约漏洞,DeFi 平台 Velodrome 暂时停用了其 Relay 服务。
Thirdweb 最近披露了一个安全漏洞,该漏洞对众多流行的 Web3 生态系统智能合约产生了潜在影响。在揭露之后,OpenZeppelin指出了两个特定的标准作为风险的最初来源。12 月 4 日,Thirdweb 揭露了一个广泛使用的开源库中的安全漏洞,该漏洞可能会影响预先建立的合约,如 DropERC20、ERC721、ERC1155(所有演绎版)和 AirdropERC20。
作为对此的反应,OpenZepplin 与 NFT 市场 Coinbase NFT 和 OpenSea 合作,主动对其用户进行有关威胁的教育。OpenZepplin 的详细审查显示,该漏洞源于两个特定标准的有缺陷的融合:ERC-2771 和 Multicall。OpenZepplin 检测到 13 个易受攻击的智能合约实例。为了防止恶意实体利用它们,他们建议加密货币服务提供商及时纠正该问题。
OpenZepplin 的调查显示,ERC-2771 标准允许更改某些调用功能。可利用此漏洞检索和欺骗发件人的地址信息。然后,攻击者可能会在单个 multicall(bytes[]) 中嵌入多个虚假调用。为了保护他们的系统,OpenZepplin 建议使用这些集成的 Web3 社区成员遵循 4 步安全流程——停用每个受信任的货运代理、停止合同并撤销批准、计划升级和评估快照选项。
为了帮助用户,Thirdweb推出了一个工具,可以帮助连接他们的钱包并确定合同是否存在风险。同时,去中心化金融 (DeFi) 平台 Velodrome 选择禁用其 Relay 服务,直到新版本启动并运行。
在Cointelegraph杂志最近的一篇文章中,专家们阐明了人工智能(AI)如何为智能合约的审计做出贡献并加强网络安全措施。网络安全调查员Librehash的主要维护者詹姆斯·爱德华兹(James Edwards)认为,尽管人工智能聊天机器人有可能创建智能合约,但它们在现实世界中的部署存在风险。不过,他也强调,人工智能技术可用于审查智能合约。最近的实验表明,人工智能能够以极高的准确性检查合同,超出了预期,并超过了 GPT-4 的性能。虽然爱德华兹承认人工智能还不能与人类审计师相提并论,但他认为它已经能够进行有效的初步检查,从而简化审计师的工作并使其更加彻底。
Published At
12/8/2023 9:58:42 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.