Интеграция ERC-2771 вводит уязвимость подделки адреса — OpenZeppelin
Интеграция ERC-2771 уязвима для подделки адреса - OpenZeppelin
Вскоре после того, как Thirdweb раскрыл уязвимость в безопасности, которая может повлиять на разнообразные распространенные умные контракты, используемые в экосистеме Web3, OpenZeppelin выявила два конкретных стандарта в качестве корневой причины угрозы.
4 декабря Thirdweb сообщил об уязвимости в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на предварительно созданные контракты, включая DropERC20, ERC721, ERC1155 (все версии) и AirdropERC20.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.
- Спасая планету одной токенизацией за раз вдохновляющее видение, стоящее за Chimpzee.
- Больше южнокорейских бирж начинают листинг USDT
- Китайские города запускают новогодние розыгрыши цифрового юаня
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
В ответ OpenZeppelin, платформа разработки умных контрактов, и рынки NFT Coinbase NFT и OpenSea проактивно предупредили пользователей о возможной угрозе. В результате дальнейшего исследования OpenZeppelin выяснилось, что уязвимость связана с “проблематическим объединением двух конкретных стандартов: ERC-2771 и Multicall”.
Уязвимость умных контрактов, которая вызывается после объединения стандартов ERC-2771 и Multicall, была выявлена OpenZeppelin. В результате было обнаружено 13 наборов уязвимых умных контрактов, как показано ниже. Однако поставщикам криптосервисов рекомендуется устранить эту проблему, прежде чем злоумышленники смогут злоупотребить уязвимостью.
При исследовании OpenZeppelin выяснилось, что стандарт ERC-2771 позволяет переопределить некоторые вызываемые функции. Это может быть использовано для получения информации об адресе отправителя и обмана вызовов от его имени.
OpenZeppelin рекомендовал сообществу Web3, использующему указанные выше интеграции, использовать 4-шаговый метод для обеспечения безопасности: отключить каждый надежный пересыльщик, приостановить контракт и отозвать разрешения, подготовить обновление и оценить варианты снимков.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Кроме того, Thirdweb запустила митигационный инструмент, который позволяет пользователям подключать свои кошельки и определять уязвимость контракта.
Today the @OpenZeppelin team disclosed details about the @thirdweb vulnerabilities to our team. We've identified a few functions in the Relay contracts that could be griefed. As such, we are deactivating Relay until the necessary adjustments can be made.
To be absolutely clear,…
— Velodrome (@VelodromeFi) December 8, 2023
Децентрализованная финансовая (DeFi) платформа Velodrome также отключила свои сервисы Relay до установки новой версии.
Связанные статьи: Сеть Coinbase Base получила интеграцию безопасности OpenZeppelin
В недавней статье журнала Cointelegraph эксперты рассказывают о том, как искусственный интеллект (AI) может помочь проводить аудит умных контрактов и способствовать усилиям по обеспечению кибербезопасности.
gm ☕️
As someone with zero Solidity proficiency, I had an already efficient smart contract tailored to my own needs by AI.
I dumped @Azuki's smart contract into GPT-4 and had it ask me relevant questions.
Disclaimer: Professional human audits and devs are still important to… pic.twitter.com/K4UGfFC5dp
— SV (@0xSMV) March 16, 2023
Джеймс Эдвардс, главный ответственный за безопасность в проекте Librehash, сказал, что хотя чат-боты на базе искусственного интеллекта имеют возможность разрабатывать умные контракты, их внедрение в живую среду представляет риск.
С другой стороны, Эдвардс подчеркнул потенциал технологии в проверке умных контрактов. Недавние тесты показали, что искусственный интеллект способен “аудитировать контракты с невиданной точностью, превосходящей все ожидания, которые можно было бы получить от GPT-4”.
Хотя он признает, что это пока не так хорошо, как человеческий аудитор, искусственный интеллект уже может выполнить первичный проход, чтобы ускорить работу аудитора и сделать ее более всесторонней.
Журнал: Страх и сомнения законодателей побуждают предлагаемую регулирование криптовалюты в США
We will continue to update BiLee; if you have any questions or suggestions, please contact us!
Was this article helpful?
93 out of 132 found this helpful
Related articles
- Российская компания Exved запускает международную платежную услугу, работающую на стабильной монете USDT от Tether.
- До Квон будет экстрадирован в Соединенные Штаты Сообщает информация
- Ученые Гарварда заявляют о прорыве в области ‘наступление раннего исправления ошибок в квантовых вычислениях’.
- «Versatus Labs поднимает $2,3 млн, чтобы внести мир первого несостоянийного роллапа»
- Одна торговая площадка готовится запустить новую торговую площадку (Please note that the translation might not capture the humorous tone accurately.)
- «Комитет по домашним делам единогласно принимает проект закона в пользу блокчейна»
- ФТХ Ad Hoc комитет готовит уточненные планы реорганизации, запланированные на декабрь.