Интеграция ERC-2771 вводит уязвимость подделки адреса — OpenZeppelin

Интеграция ERC-2771 уязвима для подделки адреса - OpenZeppelin

Вскоре после того, как Thirdweb раскрыл уязвимость в безопасности, которая может повлиять на разнообразные распространенные умные контракты, используемые в экосистеме Web3, OpenZeppelin выявила два конкретных стандарта в качестве корневой причины угрозы.

4 декабря Thirdweb сообщил об уязвимости в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на предварительно созданные контракты, включая DropERC20, ERC721, ERC1155 (все версии) и AirdropERC20.

В ответ OpenZeppelin, платформа разработки умных контрактов, и рынки NFT Coinbase NFT и OpenSea проактивно предупредили пользователей о возможной угрозе. В результате дальнейшего исследования OpenZeppelin выяснилось, что уязвимость связана с “проблематическим объединением двух конкретных стандартов: ERC-2771 и Multicall”.

Уязвимость умных контрактов, которая вызывается после объединения стандартов ERC-2771 и Multicall, была выявлена OpenZeppelin. В результате было обнаружено 13 наборов уязвимых умных контрактов, как показано ниже. Однако поставщикам криптосервисов рекомендуется устранить эту проблему, прежде чем злоумышленники смогут злоупотребить уязвимостью.

Уязвимости умных контрактов, связанные с интеграцией ERC-2771. Источник: Thirdweb
Уязвимости умных контрактов, связанные с интеграцией ERC-2771. Источник: Thirdweb

При исследовании OpenZeppelin выяснилось, что стандарт ERC-2771 позволяет переопределить некоторые вызываемые функции. Это может быть использовано для получения информации об адресе отправителя и обмана вызовов от его имени.

Злоумышленник может потенциально обернуть несколько поддельных вызовов в один multicall(bytes[]). Источник: OpenZeppelin
Злоумышленник может потенциально обернуть несколько поддельных вызовов в один multicall(bytes[]). Источник: OpenZeppelin

OpenZeppelin рекомендовал сообществу Web3, использующему указанные выше интеграции, использовать 4-шаговый метод для обеспечения безопасности: отключить каждый надежный пересыльщик, приостановить контракт и отозвать разрешения, подготовить обновление и оценить варианты снимков.

Кроме того, Thirdweb запустила митигационный инструмент, который позволяет пользователям подключать свои кошельки и определять уязвимость контракта.

Децентрализованная финансовая (DeFi) платформа Velodrome также отключила свои сервисы Relay до установки новой версии.

Связанные статьи: Сеть Coinbase Base получила интеграцию безопасности OpenZeppelin

В недавней статье журнала Cointelegraph эксперты рассказывают о том, как искусственный интеллект (AI) может помочь проводить аудит умных контрактов и способствовать усилиям по обеспечению кибербезопасности.

Джеймс Эдвардс, главный ответственный за безопасность в проекте Librehash, сказал, что хотя чат-боты на базе искусственного интеллекта имеют возможность разрабатывать умные контракты, их внедрение в живую среду представляет риск.

С другой стороны, Эдвардс подчеркнул потенциал технологии в проверке умных контрактов. Недавние тесты показали, что искусственный интеллект способен “аудитировать контракты с невиданной точностью, превосходящей все ожидания, которые можно было бы получить от GPT-4”.

Хотя он признает, что это пока не так хорошо, как человеческий аудитор, искусственный интеллект уже может выполнить первичный проход, чтобы ускорить работу аудитора и сделать ее более всесторонней.

Журнал: Страх и сомнения законодателей побуждают предлагаемую регулирование криптовалюты в США

We will continue to update BiLee; if you have any questions or suggestions, please contact us!

Share:

Was this article helpful?

93 out of 132 found this helpful

Discover more