Вскоре после того, как Thirdweb обнаружил уязвимость безопасности, которая могла повлиять на множество распространенных смарт-контрактов, используемых в экосистеме Web3, OpenZeppelin определила два конкретных стандарта как основную причину угрозы.
4 декабря Thirdweb сообщила об уязвимости в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на готовые контракты, включая DropERC20, ERC-721, ERC-1155 (все версии) и AirdropERC20.
ВАЖНЫЙ
20 ноября 2023 года в 18:00 по тихоокеанскому времени нам стало известно об уязвимости безопасности в широко используемой библиотеке с открытым исходным кодом в индустрии Web3.
Это влияет на различные смарт-контракты в экосистеме web3, включая некоторые предварительно созданные смарт-контракты Thirdweb.…
– Thirdweb (@ Thirdweb) 5 декабря 2023 г.
В ответ платформа разработки смарт-контрактов OpenZepplin и торговые площадки невзаимозаменяемых токенов Coinbase NFT и OpenSea активно проинформировали пользователей об угрозе. В ходе дальнейшего расследования OpenZepplin обнаружила, что уязвимость связана с «проблемной интеграцией двух конкретных стандартов: ERC-2771 и Multicall».
Рассматриваемая уязвимость смарт-контракта возникает после интеграции ERC-2771 и стандартов многовызова. OpenZepplin выявил 13 наборов уязвимых смарт-контрактов, как показано ниже. Однако поставщикам криптосервисов рекомендуется решить эту проблему до того, как злоумышленники найдут способ использовать уязвимость.
Расследование OpenZepplin показало, что стандарт ERC-2771 позволяет переопределять определенные функции вызова. Это можно использовать для извлечения информации об адресе отправителя и поддельных вызовов от его имени.
OpenZepplin посоветовал сообществу Web3, использующему вышеупомянутые интеграции, использовать четырехэтапный метод обеспечения безопасности: отключить каждый доверенный сервер пересылки, приостановить контракт и отозвать одобрения, подготовить обновление и оценить варианты моментальных снимков.
ВАЖНЫЙ
20 ноября 2023 года в 18:00 по тихоокеанскому времени нам стало известно об уязвимости безопасности в широко используемой библиотеке с открытым исходным кодом в индустрии Web3.
Это влияет на различные смарт-контракты в экосистеме web3, включая некоторые предварительно созданные смарт-контракты Thirdweb.…
– Thirdweb (@ Thirdweb) 5 декабря 2023 г.
Кроме того, Thirdweb запустила инструмент смягчения последствий, который позволяет пользователям подключать свои кошельки и определять, уязвим ли контракт.
Сегодня команда @OpenZeppelin раскрыла нашей команде подробности об уязвимостях @ Thirdweb. Мы определили несколько функций в контрактах реле, которые могут быть нарушены. Таким образом, мы деактивируем реле до тех пор, пока не будут сделаны необходимые настройки.
Чтобы быть абсолютно ясным,…
– Велодром (@VelodromeFi) 8 декабря 2023 г.
Платформа децентрализованного финансирования Velodrome также деактивировала свои услуги ретрансляции до установки новой версии.
Связанный: Сеть Coinbase Base получает интеграцию безопасности OpenZeppelin
В недавней статье журнала Magazine эксперты рассказали, как искусственный интеллект (ИИ) может помочь в аудите смарт-контрактов и в усилиях по обеспечению кибербезопасности.
гм ☕️
Как человек с нулевым уровнем владения Solidity, у меня уже был эффективный смарт-контракт, адаптированный к моим собственным потребностям с помощью ИИ.
Я загрузил смарт-контракт @Azuki в GPT-4 и попросил его задать мне соответствующие вопросы.
Отказ от ответственности: профессиональные человеческие аудиты и разработчики по-прежнему важны для… pic.twitter.com/K4UGfFC5dp
– СВ (@0xSMV) 16 марта 2023 г.
Джеймс Эдвардс, ведущий специалист по сопровождению исследователя кибербезопасности Librehash, сказал, что, хотя чат-боты с искусственным интеллектом могут разрабатывать смарт-контракты, развертывание их в реальной среде рискованно.
С другой стороны, Эдвардс подчеркнул потенциал этой технологии для проверки смарт-контрактов. Недавние тесты показали способность ИИ «проверять контракты с беспрецедентной точностью, которая намного превосходит то, что можно было бы ожидать и получить от GPT-4».
Хотя он признает, что он пока не так хорош, как человек-одитор, он уже может сделать сильный первый проход, чтобы ускорить работу одитора и сделать ее более всеобъемлющей.
Журнал: Страхи и сомнения законодателей стимулируют предлагаемые правила криптовалюты в США
Какая это была неделя. Возвращение Ревущей Китти в воскресенье вечером привело к торговому безумию: акции…
Предполагаемый бывший сотрудник Pump.fun вчера удалил из протокола Solana на сумму около 2 миллионов долларов.…
Вот вам и возрождение акций мемов GameStop, а также связанный с ними рост монет мемов.Поскольку…
Илон Маск, генеральный директор Tesla, SpaceX и Neuralink, объявил сегодня в твите, что Neuralink ищет…
Похоже, Ревущего Китти разочаровал его любимый магазин видеоигр.GameStop, компания, которую трейдер (он же Кит Гилл)…
Цена Биткойна выросла до самого высокого уровня со времени широко обсуждавшегося события 19 апреля, коснувшись…