Logo após a Thirdweb revelar uma vulnerabilidade de segurança que poderia impactar uma variedade de contratos inteligentes comuns usados em todo o ecossistema Web3, a OpenZeppelin identificou dois padrões específicos como a causa raiz da ameaça.

Em 4 de dezembro, a Thirdweb relatou uma vulnerabilidade em uma biblioteca de código aberto comumente usada, que poderia impactar contratos pré-construídos, incluindo DropERC20, ERC-721, ERC-1155 (todas as versões) e AirdropERC20.

Em resposta, a plataforma de desenvolvimento de contratos inteligentes OpenZepplin e os mercados de tokens não-fungíveis (NFTs) Coinbase NFT e OpenSea informaram proativamente os usuários sobre a ameaça. Após investigação adicional, a OpenZepplin descobriu que a vulnerabilidade decorre de “uma integração problemática de dois padrões específicos: ERC-2771 e Multicall.”

A vulnerabilidade de contrato inteligente em questão surge após a integração dos padrões ERC-2771 e multicall. A OpenZepplin identificou 13 conjuntos de contratos inteligentes vulneráveis, conforme mostrado abaixo. No entanto, os provedores de serviços de criptoativos são aconselhados a abordar a questão antes que atores mal-intencionados encontrem uma maneira de explorar a vulnerabilidade.

Vulnerabilidades de contrato inteligente ligadas à integração do ERC-2771. Fonte: Thirdweb

A investigação da OpenZepplin descobriu que o padrão ERC-2771 permite a substituição de certas funções de chamada. Isso poderia ser explorado para extrair informações do endereço do remetente e falsificar chamadas em seu nome.

Um atacante pode potencialmente envolver várias chamadas falsificadas dentro de um único multicall(bytes[]). Fonte: OpenZeppelin

A OpenZepplin aconselhou a comunidade Web3 que usa as integrações mencionadas a usar um método de 4 etapas para garantir segurança: desabilitar todos os encaminhadores confiáveis, pausar o contrato e revogar aprovações, preparar uma atualização e avaliar opções de snapshot.

Além disso, a Thirdweb lançou uma ferramenta de mitigação que permite aos usuários conectar suas carteiras e identificar se um contrato é vulnerável.

A plataforma de finanças descentralizadas Velodrome também desativou seus serviços de relay até que uma nova versão fosse instalada.

Em um artigo recente da Cointelegraph Magazine, especialistas revelaram como a inteligência artificial (IA) pode ajudar a auditar contratos inteligentes e auxiliar nos esforços de cibersegurança.

James Edwards, o principal mantenedor do investigador de cibersegurança Librehash, disse que, embora os chatbots de IA possam desenvolver contratos inteligentes, implantá-los em um ambiente ao vivo é arriscado.

Por outro lado, Edwards destacou o potencial da tecnologia para verificar contratos inteligentes. Testes recentes mostraram a capacidade da IA de “auditar contratos com uma precisão sem precedentes, que supera em muito o que se poderia esperar e receberia do GPT-4.”

Embora ele reconheça que ainda não é tão bom quanto um auditor humano, já pode fazer uma forte primeira análise para acelerar o trabalho do auditor e torná-lo mais abrangente.

VEJA MAIS: