OpenZeppelin a identifié deux normes spécifiques, ERC-2771 et Multicall, comme étant à l'origine d'une vulnérabilité d'usurpation d'adresse dans les contrats intelligents.
Les fournisseurs de services de cryptographie sont conseillés de résoudre le problème avant que des acteurs malveillants ne l'exploitent.
Thirdweb a lancé un outil permettant aux utilisateurs de vérifier si un contrat est vulnérable. Vélodrome a désactivé ses services jusqu'à ce qu'une nouvelle version soit installée.
Peu de temps après que Thirdweb ait révélé une vulnérabilité de sécurité susceptible d’avoir un impact sur une variété de contrats intelligents courants utilisés dans l’écosystème Web3, OpenZeppelin a identifié deux normes spécifiques comme étant à l’origine de la menace.
Le 4 décembre, Thirdweb a signalé une vulnérabilité dans une bibliothèque open source couramment utilisée, qui pourrait avoir un impact sur les contrats prédéfinis, notamment DropERC20, ERC721, ERC1155 (toutes les versions) et AirdropERC20.
IMPORTANT
Cela affecte une variété de contrats intelligents dans l’écosystème web3, y compris certains des contrats intelligents prédéfinis de Thirdweb.…
/blockquote>
En réponse, la plateforme de développement de contrats intelligents OpenZepplin et les marchés NFT Coinbase NFT et OpenSea ont informé de manière proactive les utilisateurs de la menace. Après une enquête plus approfondie, OpenZepplin a découvert que la vulnérabilité provenait « d’une intégration problématique de deux normes spécifiques : ERC-2771 et Multicall ».
La vulnérabilité des contrats intelligents en question survient après l’intégration des standards ERC-2771 et Multicall. OpenZepplin a identifié 13 ensembles de contrats intelligents vulnérables, comme indiqué ci-dessous. Il est toutefois conseillé aux fournisseurs de services de cryptographie de résoudre le problème avant que des acteurs malveillants ne trouvent un moyen d’exploiter la vulnérabilité.
Cela pourrait être exploité pour extraire les informations d’adresse de l’expéditeur et usurper les appels en son nom.
suspendre le contrat et révoquer les approbations, préparer une mise à niveau et évaluer les options d’instantané.
IMPORTANT
Cela affecte une variété de contrats intelligents dans l’écosystème web3, y compris certains des contrats intelligents prédéfinis de Thirdweb.…
/blockquote>
De plus, Thirdweb a lancé un outil d’atténuation qui permet aux utilisateurs de connecter leurs portefeuilles et d’identifier si un contrat est vulnérable.
Nous avons identifié quelques fonctions dans les contrats Relay qui pourraient être compromises
Pour être tout à fait clair,…
/blockquote>
La plateforme de finance décentralisée (DeFi) Vélodrome a également désactivé ses services Relay jusqu’à ce qu’une nouvelle version soit installée.
En rapport: Le réseau Base de Coinbase bénéficie de l’intégration de la sécurité OpenZeppelin
Dans un article récent du Cointelegraph Magazine, des experts ont révélé comment l’intelligence artificielle (IA) peut aider à auditer les contrats intelligents et à soutenir les efforts de cybersécurité.
GM ☕️
En tant que personne n’ayant aucune compétence en matière de solidité, j’avais un contrat intelligent déjà efficace, adapté à mes propres besoins grâce à l’IA.
/blockquote>
James Edwards, responsable principal de l’enquêteur en cybersécurité Librehash, a déclaré que même si les chatbots IA ont la capacité de développer des contrats intelligents, leur déploiement dans un environnement réel est risqué.
D’un autre côté, Edwards a souligné le potentiel de la technologie pour vérifier les contrats intelligents. Des tests récents ont montré la capacité de l’IA à « auditer les contrats avec une précision sans précédent qui dépasse de loin ce que l’on pourrait attendre et ce qu’on pourrait recevoir de GPT-4 ».
Même s’il admet que ce n’est pas encore aussi performant qu’un auditeur humain, il peut déjà faire un premier passage efficace pour accélérer le travail de l’auditeur et le rendre plus complet.
Revue : La peur et le doute des législateurs motivent les propositions de réglementation sur la cryptographie aux États-Unis
