Невдовзі після того, як Thirdweb виявив вразливість у безпеці, яка може вплинути на низку поширених смарт-контрактів, що використовуються в екосистемі Web3, OpenZeppelin визначив два конкретні стандарти як першопричину загрози.
4 грудня Thirdweb повідомила про вразливість у часто використовуваній Library з відкритим вихідним кодом, яка може вплинути на попередньо створені контракти, включаючи DropERC20, ERC721, ERC1155 (усі версії) і AirdropERC20.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source Library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
У відповідь платформа розробки смарт-контрактів OpenZepplin і NFT-маркетплейси Coinbase NFT і OpenSea активно повідомили користувачів про загрозу. Після подальшого дослідження OpenZepplin виявив, що вразливість виникає внаслідок «проблемної інтеграції двох конкретних стандартів: ERC-2771 і Multicall».
Уразливість смарт-контракту, про яку йде мова, виникає після інтеграції стандартів ERC-2771 і Multicall. OpenZepplin виявив 13 наборів вразливих смарт-контрактів, як показано нижче. Однак постачальникам криптовалютних послуг рекомендується вирішити проблему до того, як зловмисники знайдуть спосіб використати вразливість.
Розслідування OpenZepplin виявило, що стандарт ERC-2771 дозволяє перевизначати певні функції виклику. Це може бути використано для отримання інформації про адресу відправника та підробки дзвінків від його імені.
OpenZepplin порадив спільноті Web3, яка використовує вищезгадані інтеграції, використовувати 4-етапний метод для забезпечення безпеки — вимкнути кожен довірений пересилач, призупинити контракт і відкликати схвалення, підготувати оновлення та оцінити параметри знімка.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source Library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Крім того, Thirdweb запустив інструмент пом’якшення, який дозволяє користувачам підключати свої гаманці та визначати, чи є контракт вразливим.
Today the @OpenZeppelin team disclosed details about the @thirdweb vulnerabilities to our team. We've identified a few functions in the Relay contracts that could be griefed. As such, we are deactivating Relay until the necessary adjustments can be made.
To be absolutely clear,…
— Velodrome (@VelodromeFi) December 8, 2023
Платформа децентралізованого фінансування (DeFi) Velodrome також деактивувала свої послуги Relay до встановлення нової версії.
За темою: мережа Coinbase Base отримує інтеграцію безпеки OpenZeppelin
У нещодавній статті журналу Cointelegraph Magazine експерти розповіли, як штучний інтелект (ШІ) може допомогти перевірити розумні контракти та допомогти зусиллям у сфері кібербезпеки.
gm ☕️
As someone with zero Solidity proficiency, I had an already efficient smart contract tailored to my own needs by AI.
I dumped @Azuki's smart contract into GPT-4 and had it ask me relevant questions.
Disclaimer: Professional human audits and devs are still important to… pic.twitter.com/K4UGfFC5dp
— SV (@0xSMV) March 16, 2023
Джеймс Едвардс, провідний супроводжувач дослідника кібербезпеки Librehash, сказав, що хоча чат-боти штучного інтелекту можуть розробляти розумні контракти, розгортати їх у живому середовищі ризиковано.
З іншого боку, Едвардс підкреслив потенціал технології для перевірки розумних контрактів. Нещодавні тести показали здатність штучного інтелекту «перевіряти контракти з безпрецедентною точністю, яка значно перевищує те, що можна очікувати та отримати від GPT-4».
Хоча він визнає, що це ще не так добре, як людина-аудитор, воно вже може виконати потужний перший прохід, щоб пришвидшити роботу аудитора та зробити її більш комплексною.