Интеграция ERC-2771 представляет уязвимость подмены адреса — OpenZeppelin

Вскоре после того, как Thirdweb обнаружил уязвимость безопасности, которая могла повлиять на множество распространенных смарт-контрактов, используемых в экосистеме Web3, OpenZeppelin определила два конкретных стандарта как основную причину угрозы.

4 декабря Thirdweb сообщила об уязвимости в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на готовые контракты, включая DropERC20, ERC-721, ERC-1155 (все версии) и AirdropERC20.

ВАЖНЫЙ

20 ноября 2023 года в 18:00 по тихоокеанскому времени нам стало известно об уязвимости безопасности в широко используемой библиотеке с открытым исходным кодом в индустрии Web3.

Это влияет на различные смарт-контракты в экосистеме web3, включая некоторые предварительно созданные смарт-контракты Thirdweb.…

– Thirdweb (@ Thirdweb) 5 декабря 2023 г.

В ответ платформа разработки смарт-контрактов OpenZepplin и торговые площадки невзаимозаменяемых токенов Coinbase NFT и OpenSea активно проинформировали пользователей об угрозе. В ходе дальнейшего расследования OpenZepplin обнаружила, что уязвимость связана с «проблемной интеграцией двух конкретных стандартов: ERC-2771 и Multicall».

Рассматриваемая уязвимость смарт-контракта возникает после интеграции ERC-2771 и стандартов многовызова. OpenZepplin выявил 13 наборов уязвимых смарт-контрактов, как показано ниже. Однако поставщикам криптосервисов рекомендуется решить эту проблему до того, как злоумышленники найдут способ использовать уязвимость.

Уязвимости смарт-контрактов, связанные с интеграцией ERC-2771. Источник: Третьвеб

Расследование OpenZepplin показало, что стандарт ERC-2771 позволяет переопределять определенные функции вызова. Это можно использовать для извлечения информации об адресе отправителя и поддельных вызовов от его имени.

Злоумышленник потенциально может обернуть несколько поддельных вызовов в один мультивызов (байты[]). Источник: OpenZeppelin

OpenZepplin посоветовал сообществу Web3, использующему вышеупомянутые интеграции, использовать четырехэтапный метод обеспечения безопасности: отключить каждый доверенный сервер пересылки, приостановить контракт и отозвать одобрения, подготовить обновление и оценить варианты моментальных снимков.

ВАЖНЫЙ

20 ноября 2023 года в 18:00 по тихоокеанскому времени нам стало известно об уязвимости безопасности в широко используемой библиотеке с открытым исходным кодом в индустрии Web3.

Это влияет на различные смарт-контракты в экосистеме web3, включая некоторые предварительно созданные смарт-контракты Thirdweb.…

– Thirdweb (@ Thirdweb) 5 декабря 2023 г.

Кроме того, Thirdweb запустила инструмент смягчения последствий, который позволяет пользователям подключать свои кошельки и определять, уязвим ли контракт.

Сегодня команда @OpenZeppelin раскрыла нашей команде подробности об уязвимостях @ Thirdweb. Мы определили несколько функций в контрактах реле, которые могут быть нарушены. Таким образом, мы деактивируем реле до тех пор, пока не будут сделаны необходимые настройки.

Чтобы быть абсолютно ясным,…

– Велодром (@VelodromeFi) 8 декабря 2023 г.

Платформа децентрализованного финансирования Velodrome также деактивировала свои услуги ретрансляции до установки новой версии.

Связанный: Сеть Coinbase Base получает интеграцию безопасности OpenZeppelin

В недавней статье журнала Magazine эксперты рассказали, как искусственный интеллект (ИИ) может помочь в аудите смарт-контрактов и в усилиях по обеспечению кибербезопасности.

гм ☕️

Как человек с нулевым уровнем владения Solidity, у меня уже был эффективный смарт-контракт, адаптированный к моим собственным потребностям с помощью ИИ.

Я загрузил смарт-контракт @Azuki в GPT-4 и попросил его задать мне соответствующие вопросы.

Отказ от ответственности: профессиональные человеческие аудиты и разработчики по-прежнему важны для… pic.twitter.com/K4UGfFC5dp

– СВ (@0xSMV) 16 марта 2023 г.

Джеймс Эдвардс, ведущий специалист по сопровождению исследователя кибербезопасности Librehash, сказал, что, хотя чат-боты с искусственным интеллектом могут разрабатывать смарт-контракты, развертывание их в реальной среде рискованно.

С другой стороны, Эдвардс подчеркнул потенциал этой технологии для проверки смарт-контрактов. Недавние тесты показали способность ИИ «проверять контракты с беспрецедентной точностью, которая намного превосходит то, что можно было бы ожидать и получить от GPT-4».

Хотя он признает, что он пока не так хорош, как человек-одитор, он уже может сделать сильный первый проход, чтобы ускорить работу одитора и сделать ее более всеобъемлющей.

Журнал: Страхи и сомнения законодателей стимулируют предлагаемые правила криптовалюты в США