Інтеграція ERC-2771 представляє вразливість підміни адрес — OpenZeppelin

Разное

Невдовзі після того, як Thirdweb виявив вразливість у безпеці, яка може вплинути на низку поширених смарт-контрактів, що використовуються в екосистемі Web3, OpenZeppelin визначив два конкретні стандарти як першопричину загрози.

4 грудня Thirdweb повідомила про вразливість у часто використовуваній Library з відкритим вихідним кодом, яка може вплинути на попередньо створені контракти, включаючи DropERC20, ERC721, ERC1155 (усі версії) і AirdropERC20.

У відповідь платформа розробки смарт-контрактів OpenZepplin і NFT-маркетплейси Coinbase NFT і OpenSea активно повідомили користувачів про загрозу. Після подальшого дослідження OpenZepplin виявив, що вразливість виникає внаслідок «проблемної інтеграції двох конкретних стандартів: ERC-2771 і Multicall».

Уразливість смарт-контракту, про яку йде мова, виникає після інтеграції стандартів ERC-2771 і Multicall. OpenZepplin виявив 13 наборів вразливих смарт-контрактів, як показано нижче. Однак постачальникам криптовалютних послуг рекомендується вирішити проблему до того, як зловмисники знайдуть спосіб використати вразливість.

Уразливості смарт-контракту, пов’язані з інтеграцією ERC-2771. Джерело: Thirdweb

Розслідування OpenZepplin виявило, що стандарт ERC-2771 дозволяє перевизначати певні функції виклику. Це може бути використано для отримання інформації про адресу відправника та підробки дзвінків від його імені.

Зловмисник потенційно може обернути кілька підроблених викликів в один мультивиклик (bytes[]). Джерело: OpenZeppelin

OpenZepplin порадив спільноті Web3, яка використовує вищезгадані інтеграції, використовувати 4-етапний метод для забезпечення безпеки — вимкнути кожен довірений пересилач, призупинити контракт і відкликати схвалення, підготувати оновлення та оцінити параметри знімка.

Крім того, Thirdweb запустив інструмент пом’якшення, який дозволяє користувачам підключати свої гаманці та визначати, чи є контракт вразливим.

Платформа децентралізованого фінансування (DeFi) Velodrome також деактивувала свої послуги Relay до встановлення нової версії.

За темою: мережа Coinbase Base отримує інтеграцію безпеки OpenZeppelin

У нещодавній статті журналу Cointelegraph Magazine експерти розповіли, як штучний інтелект (ШІ) може допомогти перевірити розумні контракти та допомогти зусиллям у сфері кібербезпеки.

Джеймс Едвардс, провідний супроводжувач дослідника кібербезпеки Librehash, сказав, що хоча чат-боти штучного інтелекту можуть розробляти розумні контракти, розгортати їх у живому середовищі ризиковано.

З іншого боку, Едвардс підкреслив потенціал технології для перевірки розумних контрактів. Нещодавні тести показали здатність штучного інтелекту «перевіряти контракти з безпрецедентною точністю, яка значно перевищує те, що можна очікувати та отримати від GPT-4».

Хоча він визнає, що це ще не так добре, як людина-аудитор, воно вже може виконати потужний перший прохід, щоб пришвидшити роботу аудитора та зробити її більш комплексною.

Джерело
Оцініть автора
CryptoHamster.org
Додати коментар