Lỗ hổng bảo mật trí tuệ đối tác xuất phát sau sự tích hợp của các tiêu chuẩn ERC-2771 và multicall. OpenZeppelin xác định có 13 tập hợp các hợp đồng thông minh có lỗ hổng.
Ngay sau khi Thirdweb tiết lộ một lỗ hổng bảo mật có thể ảnh hưởng đến nhiều hợp đồng thông minh thông thường được sử dụng trên toàn bộ hệ sinh thái Web3, OpenZeppelin xác định hai tiêu chuẩn cụ thể là nguyên nhân chính của mối đe dọa.
Vào ngày 4 tháng 12, Thirdweb thông báo về một lỗ hổng trong một thư viện mã nguồn mở phổ biến, có thể ảnh hưởng đến các hợp đồng đã xây dựng trước, bao gồm DropERC20, ERC-721, ERC-1155 (tất cả các phiên bản) và AirdropERC20.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Phản ứng lại, nền tảng phát triển hợp đồng thông minh OpenZeppelin và các sàn giao dịch mã thông báo Coinbase NFT và OpenSea đã chủ động thông báo cho người dùng về mối đe dọa. Sau khi tiến hành điều tra thêm, OpenZeppelin phát hiện rằng lỗ hổng xuất phát từ “một tích hợp có vấn đề của hai tiêu chuẩn cụ thể: ERC-2771 và Multicall.”
Lỗ hổng trong hợp đồng thông minh đang được nói đến xuất phát sau sự tích hợp của các tiêu chuẩn ERC-2771 và multicall. OpenZeppelin xác định có 13 tập hợp các hợp đồng thông minh có lỗ hổng, như được thể hiện bên dưới. Tuy nhiên, các nhà cung cấp dịch vụ tiền điện tử được khuyến khích giải quyết vấn đề trước khi kẻ xấu tìm ra cách lợi dụng lỗ hổng.
Cuộc điều tra của OpenZeppelin cho thấy rằng tiêu chuẩn ERC-2771 cho phép ghi đè lên một số chức năng gọi nhất định. Điều này có thể bị lợi dụng để trích xuất thông tin địa chỉ của người gửi và giả mạo cuộc gọi thay mặt họ.
OpenZeppelin khuyến nghị cộng đồng Web3 sử dụng phương pháp 4 bước để đảm bảo an toàn: tắt mọi chuyển phát tin cậy, tạm ngừng hợp đồng và thu hồi các phê duyệt, chuẩn bị nâng cấp và đánh giá các tùy chọn ảnh chụp.
Ngoài ra, Thirdweb đã tung ra một công cụ giảm nhẹ, cho phép người dùng kết nối ví của họ và xác định xem một hợp đồng có lỗ hổng hay không. Nền tảng tài chính phi tập trung Velodrome cũng đã tắt dịch vụ chuyển phát của mình cho đến khi phiên bản mới được cài đặt.
Today the @OpenZeppelin team disclosed details about the @thirdweb vulnerabilities to our team. We've identified a few functions in the Relay contracts that could be griefed. As such, we are deactivating Relay until the necessary adjustments can be made.
To be absolutely clear,…
— Velodrome (@VelodromeFi) December 8, 2023
Trong một bài viết gần đây trên tạp chí Cointelegraph, các chuyên gia tiết lộ cách trí tuệ nhân tạo (AI) có thể giúp kiểm tra hợp đồng thông minh và hỗ trợ công việc an ninh mạng.
James Edwards, người duy trì chính cho công cụ kiểm tra an ninh Librehash, nói rằng trong khi các chatbot AI có thể phát triển hợp đồng thông minh, triển khai chúng trong môi trường thực tế là rủi ro.
gm ☕️
As someone with zero Solidity proficiency, I had an already efficient smart contract tailored to my own needs by AI.
I dumped @Azuki's smart contract into GPT-4 and had it ask me relevant questions.
Disclaimer: Professional human audits and devs are still important to… pic.twitter.com/K4UGfFC5dp
— SV (@0xSMV) March 16, 2023
Ngược lại, Edwards nhấn mạnh tiềm năng của công nghệ này để kiểm tra hợp đồng thông minh. Các thử nghiệm gần đây đã cho thấy khả năng của AI “kiểm tra hợp đồng với một mức độ chính xác chưa từng có, vượt xa những gì người ta có thể mong đợi và nhận được từ GPT-4.”
Mặc dù ông thừa nhận nó vẫn chưa tốt như một kiểm toán viên con người, nhưng nó đã có thể thực hiện một lượt kiểm tra mạnh mẽ để tăng tốc công việc kiểm toán và làm cho nó toàn diện hơn.