L'intégration ERC-2771 introduit une vulnérabilité d'usurpation d'adresse — OpenZeppelin

Il y a 2 ans Jonathan Christiani

Peu de temps après que Thirdweb ait révélé une vulnérabilité de sécurité susceptible d'avoir un impact sur une variété de contrats intelligents courants utilisés dans l'écosystème Web3, OpenZeppelin a identifié deux normes spécifiques comme étant à l'origine de la menace.
Le 4 décembre, Thirdweb a signalé une vulnérabilité dans une bibliothèque open source couramment utilisée, qui pourrait avoir un impact sur les contrats prédéfinis, notamment DropERC20, ERC721, ERC1155 (toutes les versions) et AirdropERC20.

IMPORTANT
Le 20 novembre 2023 à 18 heures PST, nous avons pris conscience d'une vulnérabilité de sécurité dans une bibliothèque open source couramment utilisée dans l'industrie du web3.
Cela affecte une variété de contrats intelligents dans l'écosystème web3, y compris certains des contrats intelligents prédéfinis de Thirdweb.…
– tiersweb (@thirdweb) 5 décembre 2023

En réponse, la plateforme de développement de contrats intelligents OpenZepplin et les marchés NFT Coinbase NFT et OpenSea ont informé de manière proactive les utilisateurs de la menace. Après une enquête plus approfondie, OpenZepplin a découvert que la vulnérabilité provenait « d'une intégration problématique de deux normes spécifiques : ERC-2771 et Multicall ».
La vulnérabilité des contrats intelligents en question survient après l'intégration des standards ERC-2771 et Multicall. OpenZepplin a identifié 13 ensembles de contrats intelligents vulnérables, comme indiqué ci-dessous. Il est toutefois conseillé aux fournisseurs de services de cryptographie de résoudre le problème avant que des acteurs malveillants ne trouvent un moyen d’exploiter la vulnérabilité.
Vulnérabilités des contrats intelligents liées à l'intégration ERC-2771. Source : ThirdwebL'enquête d'OpenZepplin a révélé que la norme ERC-2771 permet de remplacer certaines fonctions d'appel. Cela pourrait être exploité pour extraire les informations d’adresse de l’expéditeur et usurper les appels en son nom.
Un attaquant peut potentiellement regrouper plusieurs appels usurpés dans un seul appel multiple (octets[]). Source : OpenZeppelinOpenZepplin a conseillé à la communauté Web3 utilisant les intégrations susmentionnées d'utiliser une méthode en 4 étapes pour garantir la sécurité : désactiver chaque transitaire de confiance, suspendre le contrat et révoquer les approbations, préparer une mise à niveau et évaluer les options d'instantané.

IMPORTANT
Le 20 novembre 2023 à 18 heures PST, nous avons pris conscience d'une vulnérabilité de sécurité dans une bibliothèque open source couramment utilisée dans l'industrie du web3.
Cela affecte une variété de contrats intelligents dans l'écosystème web3, y compris certains des contrats intelligents prédéfinis de Thirdweb.…
– tiersweb (@thirdweb) 5 décembre 2023

De plus, Thirdweb a lancé un outil d'atténuation qui permet aux utilisateurs de connecter leurs portefeuilles et d'identifier si un contrat est vulnérable.

Aujourd'hui, l'équipe @OpenZeppelin a divulgué des détails sur les vulnérabilités @thirdweb à notre équipe. Nous avons identifié quelques fonctions dans les contrats Relay qui pourraient être compromises. C’est pourquoi nous désactivons Relay jusqu’à ce que les ajustements nécessaires puissent être effectués.
Pour être tout à fait clair,…
– Vélodrome (@VelodromeFi) 8 décembre 2023

La plateforme de finance décentralisée (DeFi) Vélodrome a également désactivé ses services Relay jusqu'à ce qu'une nouvelle version soit installée.
En rapport: Le réseau Base de Coinbase bénéficie de l'intégration de la sécurité OpenZeppelin
Dans un article récent du Cointelegraph Magazine, des experts ont révélé comment l'intelligence artificielle (IA) peut aider à auditer les contrats intelligents et à soutenir les efforts de cybersécurité.

GM ☕️
En tant que personne n'ayant aucune compétence en matière de solidité, j'avais un contrat intelligent déjà efficace, adapté à mes propres besoins grâce à l'IA.
J'ai déposé le contrat intelligent de @Azuki dans GPT-4 et je lui ai demandé de me poser des questions pertinentes.
Avertissement : les audits humains professionnels et les développeurs sont toujours importants pour… pic.twitter.com/K4UGfFC5dp
– SV (@0xSMV) 16 mars 2023

James Edwards, responsable principal de l'enquêteur en cybersécurité Librehash, a déclaré que même si les chatbots IA ont la capacité de développer des contrats intelligents, leur déploiement dans un environnement réel est risqué.
D'un autre côté, Edwards a souligné le potentiel de la technologie pour vérifier les contrats intelligents. Des tests récents ont montré la capacité de l'IA à « auditer les contrats avec une précision sans précédent qui dépasse de loin ce que l'on pourrait attendre et ce qu'on pourrait recevoir de GPT-4 ».
Même s'il admet que ce n'est pas encore aussi performant qu'un auditeur humain, il peut déjà faire un premier passage efficace pour accélérer le travail de l'auditeur et le rendre plus complet.
Revue: La peur et le doute des législateurs motivent les propositions de réglementation sur la cryptographie aux États-Unis

Tags: , , , ,
You may have missed
SBI Holdings a-t-il réellement acquis pour 10 milliards de dollars de XRP ? Le PDG dévoile le montant exact.
Il y a 2 mois Jonathan Christiani
Les actions de Shopify (SHOP) chutent de 11 % malgré des bénéfices élevés. Est-ce le moment d'investir ?
Il y a 2 mois Jonathan Christiani
IA chez Kraken Compliance : automatiser les tâches courantes pour améliorer l'analyse critique
Il y a 2 mois Jérémie Levy
Scott Melker : un retournement soudain du Bitcoin pourrait surprendre les investisseurs
Il y a 2 mois Jonathan Christiani
« Portefeuille Bitcoin de l’ère Satoshi : 2 milliards de dollars en BTC achetés – Que sait-on ? »
Il y a 2 mois Jérémie Levy
bitcoin
Bitcoin (BTC) $ 78,193.00 1.42%
ethereum
Ethereum (ETH) $ 2,300.87 0.94%
tether
Tether (USDT) $ 0.999773 0.02%
xrp
XRP (XRP) $ 1.38 0.73%
bnb
BNB (BNB) $ 615.62 0.26%
usd-coin
USDC (USDC) $ 0.999827 0.02%
solana
Solana (SOL) $ 83.71 0.23%
tron
TRON (TRX) $ 0.328645 0.73%
figure-heloc
Figure Heloc (FIGR_HELOC) $ 1.03 0.14%
staked-ether
Lido Staked Ether (STETH) $ 2,265.05 3.46%
dogecoin
Dogecoin (DOGE) $ 0.107958 0.26%
whitebit
WhiteBIT Coin (WBT) $ 58.38 1.07%
usds
USDS (USDS) $ 0.999848 0.01%
hyperliquid
Hyperliquid (HYPE) $ 41.58 4.14%
leo-token
LEO Token (LEO) $ 10.33 0.18%
cardano
Cardano (ADA) $ 0.247622 0.44%
wrapped-steth
Wrapped stETH (WSTETH) $ 2,779.67 3.22%
bitcoin-cash
Bitcoin Cash (BCH) $ 448.95 1.31%
monero
Monero (XMR) $ 386.30 0.61%
wrapped-bitcoin
Wrapped Bitcoin (WBTC) $ 76,243.00 3.12%
chainlink
Chainlink (LINK) $ 9.08 0.73%
binance-bridged-usdt-bnb-smart-chain
Binance Bridged USDT (BNB Smart Chain) (BSC-USD) $ 0.998762 0.02%
zcash
Zcash (ZEC) $ 376.04 7.49%
wrapped-beacon-eth
Wrapped Beacon ETH (WBETH) $ 2,466.93 3.47%
canton-network
Canton (CC) $ 0.150538 0.21%
stellar
Stellar (XLM) $ 0.159216 0.26%
usd1-wlfi
USD1 (USD1) $ 0.999718 0.01%
wrapped-eeth
Wrapped eETH (WEETH) $ 2,465.31 3.39%
dai
Dai (DAI) $ 0.999789 0.00%
litecoin
Litecoin (LTC) $ 55.40 0.17%
susds
sUSDS (SUSDS) $ 1.08 0.16%
avalanche-2
Avalanche (AVAX) $ 9.09 0.11%
ethena-usde
Ethena USDe (USDE) $ 0.999124 0.01%
hedera-hashgraph
Hedera (HBAR) $ 0.0878 0.00%
coinbase-wrapped-btc
Coinbase Wrapped BTC (CBBTC) $ 76,366.00 3.12%
rain
Rain (RAIN) $ 0.007806 0.45%
memecore
MemeCore (M) $ 2.89 8.93%
shiba-inu
Shiba Inu (SHIB) $ 0.000006 1.25%
weth
WETH (WETH) $ 2,268.37 3.40%
sui
Sui (SUI) $ 0.917106 0.21%
the-open-network
Toncoin (TON) $ 1.32 1.36%
paypal-usd
PayPal USD (PYUSD) $ 0.999992 0.03%
usdt0
USDT0 (USDT0) $ 0.998824 0.03%
crypto-com-chain
Cronos (CRO) $ 0.068319 0.10%
hashnote-usyc
Circle USYC (USYC) $ 1.12 0.00%
tether-gold
Tether Gold (XAUT) $ 4,599.30 0.55%
bittensor
Bittensor (TAO) $ 273.94 7.36%
global-dollar
Global Dollar (USDG) $ 0.99987 0.01%
blackrock-usd-institutional-digital-liquidity-fund
BlackRock USD Institutional Digital Liquidity Fund (BUIDL) $ 1.00 0.00%
pax-gold
PAX Gold (PAXG) $ 4,601.76 0.56%