Вскоре после того, как Thirdweb обнаружил уязвимость безопасности, которая могла повлиять на множество распространенных смарт-контрактов, используемых в экосистеме Web3, OpenZeppelin определила два конкретных стандарта как основную причину угрозы.
4 декабря Thirdweb сообщила об уязвимости в широко используемой библиотеке Library с открытым исходным кодом, которая может повлиять на готовые контракты, включая DropERC20, ERC721, ERC1155 (все версии) и AirdropERC20.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source Library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
В ответ платформа разработки смарт-контрактов OpenZepplin и торговые площадки NFT Coinbase NFT и OpenSea активно проинформировали пользователей об угрозе. В ходе дальнейшего расследования OpenZepplin обнаружила, что уязвимость связана с «проблемной интеграцией двух конкретных стандартов: ERC-2771 и Multicall».
Рассматриваемая уязвимость смарт-контракта возникает после интеграции стандартов ERC-2771 и Multicall. OpenZepplin выявил 13 наборов уязвимых смарт-контрактов, как показано ниже. Тем не менее, поставщикам криптовалютных услуг рекомендуется решить эту проблему до того, как злоумышленники найдут способ использовать уязвимость.
Расследование OpenZepplin показало, что стандарт ERC-2771 позволяет переопределять определенные функции вызова. Это можно использовать для извлечения информации об адресе отправителя и поддельных вызовов от его имени.
OpenZepplin посоветовал сообществу Web3, использующему вышеупомянутые интеграции, использовать четырехэтапный метод обеспечения безопасности — отключить каждый доверенный сервер пересылки, приостановить контракт и отозвать одобрения, подготовить обновление и оценить варианты моментальных снимков.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source Library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Кроме того, Thirdweb запустила инструмент смягчения последствий, который позволяет пользователям подключать свои кошельки и определять, уязвим ли контракт.
Today the @OpenZeppelin team disclosed details about the @thirdweb vulnerabilities to our team. We've identified a few functions in the Relay contracts that could be griefed. As such, we are deactivating Relay until the necessary adjustments can be made.
To be absolutely clear,…
— Velodrome (@VelodromeFi) December 8, 2023
Платформа децентрализованных финансов (DeFi) Velodrome также деактивировала свои услуги Relay до тех пор, пока не будет установлена новая версия.
Связанный: Сеть Coinbase Base получает интеграцию безопасности OpenZeppelin
В недавней статье журнала Cointelegraph Magazine эксперты рассказали, как искусственный интеллект (ИИ) может помочь в аудите смарт-контрактов и в усилиях по обеспечению кибербезопасности.
gm ☕️
As someone with zero Solidity proficiency, I had an already efficient smart contract tailored to my own needs by AI.
I dumped @Azuki's smart contract into GPT-4 and had it ask me relevant questions.
Disclaimer: Professional human audits and devs are still important to… pic.twitter.com/K4UGfFC5dp
— SV (@0xSMV) March 16, 2023
Джеймс Эдвардс, ведущий специалист по сопровождению исследователя кибербезопасности Librehash, сказал, что, хотя чат-боты с искусственным интеллектом обладают способностью разрабатывать смарт-контракты, развертывание их в реальной среде рискованно.
С другой стороны, Эдвардс подчеркнул потенциал этой технологии для проверки смарт-контрактов. Недавние тесты показали способность ИИ «проверять контракты с беспрецедентной точностью, которая намного превосходит то, что можно было бы ожидать и получить от GPT-4».
Хотя он признает, что он пока не так хорош, как человек-одитор, он уже может сделать сильный первый проход, чтобы ускорить работу одитора и сделать ее более всеобъемлющей.