Новости Новая уязвимость в смарт-контрактах Web3

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Советы от OpenZeppelin о том, как обезопасить свои инвестиции в Web3.


3zhzho5t266ezba5tkv99f2xq33ixzvp.jpg


Компания Thirdweb недавно обнаружила уязвимость , затрагивающую ряд стандартных смарт-контрактов, широко используемых в экосистеме Web3 . Эксперты из OpenZeppelin выявили два конкретных стандарта как первопричину угрозы.


5z5v0mx11c1wn2l7emcjnguspff2n906.png


4 декабря Thirdweb сообщила о недостатках в популярной открытой библиотеке, что могло повлиять на готовые контракты, включая DropERC20, ERC-721, ERC-1155 (все версии) и AirdropERC20.


3ik21qx0jh09kxo8lsffst9fj864ix7b.png


В ответ на это OpenZeppelin, Coinbase NFT и OpenSea проинформировали пользователей о потенциальной угрозе. После дополнительного исследования, OpenZeppelin обнаружила, что уязвимость связана с «проблемной интеграцией двух стандартов: ERC-2771 и Multicall».

Уязвимость смарт-контракта возникает после интеграции стандартов ERC-2771 и multicall. OpenZeppelin определила 13 наборов уязвимых смарт-контрактов. Эксперты рекомендуют провайдерам криптосервисов решить эту проблему, прежде чем мошенники смогут использовать уязвимость в своих целях.

OpenZeppelin обнаружила, что стандарт ERC-2771 позволяет переопределить некоторые функции вызова, что может быть использовано для извлечения информации об адресе отправителя и подделки вызовов от их имени.


jkzbg27050jpggewht89zlio1upjpmrk.png


OpenZeppelin разработала для сообщества Web3, использующего вышеуказанные интеграции, комплексную четырехэтапную стратегию по укреплению безопасности. Этот план включает в себя следующие шаги:

  1. Отключение всех доверенных пересыльщиков - это мера направлена на предотвращение несанкционированных действий через внешние каналы.
  2. Приостановка контракта и отзыв одобрений - временная остановка всех операций и отмена предварительно утвержденных действий для предотвращения возможных уязвимостей.
  3. Подготовка к обновлению контрактов - разработка и внедрение обновлений для устранения уязвимостей.
  4. Оценка опций для снимков состояния - анализ и выбор наилучших методов для сохранения текущего состояния контрактов в целях безопасности и восстановления.
Кроме того, Thirdweb запустила инструмент смягчения последствий, позволяющий пользователям подключать свои кошельки и определять, уязвим ли контракт.

Платформа децентрализованных финансов Velodrome также деактивировала свои ретрансляционные сервисы до установки новой версии.


wgm96j1x5tmwu8sj4pb10y1xzts6zfgm.png

 
Источник новости
www.securitylab.ru

Похожие темы