Ngay sau khi Thirdweb tiết lộ lỗ hổng bảo mật có thể ảnh hưởng đến nhiều loại hợp đồng thông minh phổ biến được sử dụng trên hệ sinh thái Web3, OpenZeppelin đã xác định hai tiêu chuẩn cụ thể là nguyên nhân cốt lõi của mối đe dọa.
Vào ngày 4 tháng 12, Thirdweb đã báo cáo một lỗ hổng trong thư viện nguồn mở thường được sử dụng. Lỗ hổng này có thể ảnh hưởng đến các hợp đồng được tạo sẵn, bao gồm DropERC20, ERC721, ERC1155 (tất cả các phiên bản) và AirdropERC20.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Đáp lại, nền tảng phát triển hợp đồng thông minh OpenZepplin và thị trường NFT Coinbase NFT và OpenSea đã chủ động thông báo cho người dùng về mối đe dọa. Sau khi điều tra sâu hơn, OpenZepplin phát hiện ra rằng lỗ hổng này bắt nguồn từ “sự tích hợp có vấn đề của hai tiêu chuẩn cụ thể: ERC-2771 và Multicall”.
Lỗ hổng hợp đồng thông minh được đề cập phát sinh sau khi tích hợp các tiêu chuẩn ERC-2771 và Multicall. OpenZepplin đã xác định được 13 bộ hợp đồng thông minh dễ bị tấn công, như được hiển thị bên dưới. Tuy nhiên, các nhà cung cấp dịch vụ tiền điện tử nên giải quyết vấn đề trước khi kẻ xấu tìm cách khai thác lỗ hổng.
Cuộc điều tra của OpenZepplin cho thấy tiêu chuẩn ERC-2771 cho phép ghi đè một số chức năng call nhất định. Điều này có thể bị khai thác để trích xuất thông tin địa chỉ của người gửi và thay mặt họ thực hiện các call giả mạo.
OpenZepplin khuyên cộng đồng Web3 sử dụng các tích hợp nói trên nên sử dụng phương pháp 4 bước để đảm bảo an toàn – vô hiệu hóa mọi nhà chuyển tiếp đáng tin cậy, tạm dừng hợp đồng và thu hồi phê duyệt, chuẩn bị nâng cấp và đánh giá các tùy chọn ảnh chụp nhanh.
Ngoài ra, Thirdweb đã ra mắt một công cụ cho phép người dùng kết nối ví của họ và xác định xem hợp đồng có dễ bị tấn công hay không.
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Trang tin tức Bitcoin, tiền điện tử
Nguồn: Sưu Tầm internet
Trả lời