Logo depois que a Thirdweb revelou uma vulnerabilidade de segurança que poderia impactar uma variedade de contratos inteligentes comuns usados em todo o ecossistema Web3, a OpenZeppelin identificou dois padrões específicos como a causa raiz da ameaça.
Em 4 de dezembro, a Thirdweb relatou uma vulnerabilidade em uma biblioteca de código aberto comumente usada, que poderia impactar contratos pré-construídos, incluindo DropERC20, ERC-721, ERC-1155 (todas as versões) e AirdropERC20.
IMPORTANTE
Em 20 de novembro de 2023, às 18h PST, tomamos conhecimento de uma vulnerabilidade de segurança em uma biblioteca de código aberto comumente usada na indústria web3.
Isso impacta uma variedade de contratos inteligentes em todo o ecossistema web3, incluindo alguns dos contratos inteligentes pré-construídos da thirdweb.…
-terceiroweb (@thirdweb) 5 de dezembro de 2023
Em resposta, plataforma de desenvolvimento de contratos inteligentes OpenZepplin e mercados de tokens não fungíveis CoinbaseNFT e Mar aberto informou proativamente os usuários sobre a ameaça. Após uma investigação mais aprofundada, o OpenZepplin descobriu que a vulnerabilidade decorre de “uma integração problemática de dois padrões específicos: ERC-2771 e Multicall”.
A vulnerabilidade do contrato inteligente em questão surge após a integração dos padrões ERC-2771 e multicall. OpenZepplin identificou 13 conjuntos de contratos inteligentes vulneráveis, conforme mostrado abaixo. No entanto, os provedores de serviços de criptografia são aconselhados a resolver o problema antes que os malfeitores encontrem uma maneira de explorar a vulnerabilidade.
A investigação do OpenZepplin descobriu que o padrão ERC-2771 permite substituir certas funções de chamada. Isso poderia ser explorado para extrair informações de endereço do remetente e falsificar chamadas em seu nome.
OpenZepplin aconselhou a comunidade Web3 que usa as integrações mencionadas acima a usar um método de 4 etapas para garantir a segurança: desabilitar todos os encaminhadores confiáveis, pausar o contrato e revogar aprovações, preparar uma atualização e avaliar as opções de snapshot.
IMPORTANTE
Em 20 de novembro de 2023, às 18h PST, tomamos conhecimento de uma vulnerabilidade de segurança em uma biblioteca de código aberto comumente usada na indústria web3.
Isso impacta uma variedade de contratos inteligentes em todo o ecossistema web3, incluindo alguns dos contratos inteligentes pré-construídos da thirdweb.…
-terceiroweb (@thirdweb) 5 de dezembro de 2023
Além disso, a Thirdweb lançou uma ferramenta de mitigação que permite aos usuários conectar suas carteiras e identificar se um contrato é vulnerável.
Hoje, os @OpenZeppelin equipe divulgou detalhes sobre o @terceiraweb vulnerabilidades para nossa equipe. Identificamos algumas funções nos contratos do Relay que podem ser prejudicadas. Como tal, estamos desativando o Relay até que os ajustes necessários possam ser feitos.
Para ser absolutamente claro,…
– Velódromo (@VelodromeFi) 8 de dezembro de 2023
A plataforma financeira descentralizada Velodrome também desativou seus serviços de retransmissão até que uma nova versão fosse instalada.
Relacionado: A rede Base da Coinbase obtém integração de segurança OpenZeppelin
Em um artigo recente da Cointelegraph Magazine, especialistas revelaram como a inteligência artificial (IA) pode ajudar a auditar contratos inteligentes e auxiliar nos esforços de segurança cibernética.
gm ☕️
Como alguém com proficiência zero em Solidity, eu já tinha um contrato inteligente eficiente, adaptado às minhas próprias necessidades por IA.
Eu larguei @Azukido contrato inteligente no GPT-4 e ele me fez perguntas relevantes.
Isenção de responsabilidade: auditorias humanas profissionais e desenvolvedores ainda são importantes para… pic.twitter.com/K4UGfFC5dp
-SV (@0xSMV) 16 de março de 2023
James Edwards, principal mantenedor do investigador de segurança cibernética Librehash, disse que, embora os chatbots de IA possam desenvolver contratos inteligentes, implantá-los em um ambiente ativo é arriscado.
Por outro lado, Edwards destacou o potencial da tecnologia para examinar contratos inteligentes. Testes recentes mostraram a capacidade da IA de “auditar contratos com uma precisão sem precedentes que ultrapassa em muito o que se poderia esperar e receberia do GPT-4”.
Embora ele admita que ainda não é tão bom quanto um auditor humano, já pode dar um primeiro passo forte para acelerar o trabalho do auditor e torná-lo mais abrangente.
Revista: O medo e a dúvida dos legisladores impulsionam propostas de regulamentações de criptografia nos EUA
source – cointelegraph.com
