Tích hợp ERC-2771 gây ra lỗ hổng giả mạo địa chỉ — OpenZeppelin

Tích hợp ERC-2771 gây ra lỗ hổng giả mạo địa chỉ — OpenZeppelin

Lỗ hổng hợp đồng thông minh phát sinh sau khi tích hợp các tiêu chuẩn ERC-2771 và Multicall. OpenZepplin đã xác định được 13 bộ hợp đồng thông minh dễ bị tấn công.

Ngay sau khi Thirdweb tiết lộ lỗ hổng bảo mật có thể ảnh hưởng đến nhiều loại hợp đồng thông minh phổ biến được sử dụng trên hệ sinh thái Web3, OpenZeppelin đã xác định hai tiêu chuẩn cụ thể là nguyên nhân cốt lõi của mối đe dọa.

Vào ngày 4 tháng 12, Thirdweb đã báo cáo một lỗ hổng trong thư viện nguồn mở thường được sử dụng. Lỗ hổng này có thể ảnh hưởng đến các hợp đồng được tạo sẵn, bao gồm DropERC20, ERC721, ERC1155 (tất cả các phiên bản) và AirdropERC20.

Đáp lại, nền tảng phát triển hợp đồng thông minh OpenZepplin và thị trường NFT Coinbase NFTOpenSea đã chủ động thông báo cho người dùng về mối đe dọa. Sau khi điều tra sâu hơn, OpenZepplin phát hiện ra rằng lỗ hổng này bắt nguồn từ “sự tích hợp có vấn đề của hai tiêu chuẩn cụ thể: ERC-2771 và Multicall”.

Lỗ hổng hợp đồng thông minh được đề cập phát sinh sau khi tích hợp các tiêu chuẩn ERC-2771 và Multicall. OpenZepplin đã xác định được 13 bộ hợp đồng thông minh dễ bị tấn công, như được hiển thị bên dưới. Tuy nhiên, các nhà cung cấp dịch vụ tiền điện tử nên giải quyết vấn đề trước khi kẻ xấu tìm cách khai thác lỗ hổng.

Lỗ hổng hợp đồng thông minh liên quan đến tích hợp ERC-2771 Nguồn: Thứ ba

Cuộc điều tra của OpenZepplin cho thấy tiêu chuẩn ERC-2771 cho phép ghi đè một số chức năng cuộc gọi nhất định. Điều này có thể bị khai thác để trích xuất thông tin địa chỉ của người gửi và thay mặt họ thực hiện các cuộc gọi giả mạo.

Kẻ tấn công có thể bao bọc nhiều cuộc gọi giả mạo trong một cuộc gọi đa phương tiện (byte[]). Nguồn: OpenZeppelin

OpenZepplin khuyên cộng đồng Web3 sử dụng các tích hợp nói trên nên sử dụng phương pháp 4 bước để đảm bảo an toàn – vô hiệu hóa mọi nhà chuyển tiếp đáng tin cậy, tạm dừng hợp đồng và thu hồi phê duyệt, chuẩn bị nâng cấp và đánh giá các tùy chọn ảnh chụp nhanh.

Ngoài ra, Thirdweb đã ra mắt một công cụ giảm thiểu cho phép người dùng kết nối ví của họ và xác định xem hợp đồng có dễ bị tấn công hay không.

Nền tảng tài chính phi tập trung (DeFi) Velodrome cũng đã ngừng hoạt động các dịch vụ Chuyển tiếp cho đến khi phiên bản mới được cài đặt.

Trong một bài báo gần đây của Tạp chí Cointelegraph, các chuyên gia đã tiết lộ cách trí tuệ nhân tạo (AI) có thể giúp kiểm toán các hợp đồng thông minh và hỗ trợ các nỗ lực an ninh mạng.

James Edwards, người bảo trì chính của nhà điều tra an ninh mạng Librehash, cho biết mặc dù các chatbot AI có khả năng phát triển các hợp đồng thông minh nhưng việc triển khai chúng trong môi trường trực tiếp là rất rủi ro.

Mặt khác, Edwards nhấn mạnh tiềm năng của công nghệ này trong việc kiểm tra các hợp đồng thông minh. Các thử nghiệm gần đây cho thấy khả năng của AI trong việc “kiểm toán các hợp đồng với độ chính xác chưa từng có, vượt xa những gì người ta có thể mong đợi và sẽ nhận được từ GPT-4”.

Mặc dù anh ấy thừa nhận rằng nó chưa tốt bằng một kiểm toán viên con người, nhưng nó đã có thể vượt qua bước đầu tiên một cách mạnh mẽ để đẩy nhanh công việc của kiểm toán viên và làm cho công việc trở nên toàn diện hơn.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Exit mobile version