Selepas Thirdweb mendedahkan kelemahan keselamatan yang boleh memberi kesan kepada pelbagai kontrak pintar yang biasa digunakan dalam ekosistem Web3, OpenZeppelin mengenal pasti dua standard khusus sebagai punca ancaman tersebut.

Pada 4 Disember, Thirdweb melaporkan kelemahan dalam perpustakaan sumber terbuka yang biasa digunakan, yang boleh memberi kesan kepada kontrak yang telah dibina sebelumnya, termasuk DropERC20, ERC-721, ERC-1155 (semua versi) dan AirdropERC20.

Sebagai tindak balas, platform pembangunan kontrak pintar OpenZepplin dan pasaran token bukan-fungible Coinbase NFT dan OpenSea secara proaktif memberitahu pengguna tentang ancaman tersebut. Selepas siasatan lanjut, OpenZepplin mendapati bahawa kelemahan ini berasal daripada "integrasi dua standard tertentu: ERC-2771 dan Multicall".

Kelemahan kontrak pintar yang dipertikaikan ini timbul selepas integrasi standard ERC-2771 dan multicall. OpenZepplin mengenal pasti 13 set kontrak pintar yang rentan, seperti yang ditunjukkan di bawah. Walau bagaimanapun, penyedia perkhidmatan kripto dinasihatkan untuk menangani isu ini sebelum pelaku jahat mencari cara untuk mengeksploitasi kelemahan tersebut.

Kelemahan kontrak pintar yang berkaitan dengan integrasi ERC-2771. Sumber: Thirdweb

Siasatan OpenZepplin mendapati bahawa standard ERC-2771 membenarkan penggantian fungsi panggilan tertentu. Ini boleh dieksploitasi untuk mendapatkan maklumat alamat penghantar dan membuat panggilan palsu bagi pihak mereka.

Penyerang berpotensi membungkus beberapa panggilan palsu dalam satu multicall(bytes[]). Sumber: OpenZeppelin

OpenZepplin menasihati komuniti Web3 yang menggunakan integrasi tersebut untuk menggunakan kaedah 4 langkah untuk memastikan keselamatan: mematikan setiap penghantar yang dipercayai, menghentikan kontrak dan mencabut kelulusan, menyediakan peningkatan dan menilai pilihan snapshot.

Selain itu, Thirdweb melancarkan alat pengecutan yang membolehkan pengguna menyambungkan dompet mereka dan mengenal pasti jika kontrak rentan.

Platform kewangan terdesentralisasi Velodrome juga menonaktifkan perkhidmatan relay sehingga versi baru dipasang.

Berkaitan: Jaringan Base Coinbase mendapat integrasi keselamatan OpenZeppelin

Pada artikel terkini Cointelegraph Magazine, pakar mendedahkan bagaimana kecerdasan buatan (AI) dapat membantu mengaudit kontrak pintar dan usaha keselamatan siber.

James Edwards, pengurus utama penyiasat keselamatan Librehash, berkata bahawa walaupun chatbot AI boleh membangunkan kontrak pintar, menyebarkannya dalam persekitaran langsung adalah berisiko.

Di sisi lain, Edwards menekankan potensi teknologi ini untuk mengesahkan kontrak pintar. Ujian terkini menunjukkan keupayaan AI untuk "mengaudit kontrak dengan jumlah ketepatan yang belum pernah ada sebelum ini, yang jauh melampaui apa yang dijangka dan diterima dari GPT-4."

Walaupun dia mengakui bahawa ia belum sebaik juru audit manusia, ia sudah boleh melakukan langkah pertama yang kuat untuk mempercepat kerja juruaudit dan menjadikannya lebih komprehensif.

Majalah: Ketakutan dan keraguan ahli politik mendorong cadangan peraturan kripto di AS