Poco después de que Thirdweb revelara una vulnerabilidad de seguridad que podría afectar a una variedad de contratos inteligentes comunes utilizados en todo el ecosistema Website3, OpenZeppelin identificó dos estándares específicos como la causa raíz de la amenaza.
El 4 de diciembre, Thirdweb informó de una vulnerabilidad en una biblioteca de código abierto de uso común, que podría afectar a los contratos pre-construidos, incluyendo DropERC20, ERC-721, ERC-1155 (todas las versiones) y AirdropERC20.
Significant
On November 20th, 2023 6pm PST, we grew to become aware of a security vulnerability in a usually employed open up-source library in the world-wide-web3 sector.
This impacts a assortment of smart contracts across the internet3 ecosystem, like some of thirdweb’s pre-crafted clever contracts.…
— thirdweb (@thirdweb) December 5, 2023
IMPORTANTE
El 20 de noviembre de 2023 6pm PST, nos dimos cuenta de una vulnerabilidad de seguridad en una biblioteca de código abierto de uso común en la industria website3.
Esto afecta a una variedad de contratos inteligentes en todo el ecosistema world-wide-web3, incluyendo algunos de los contratos inteligentes pre-construidos de thirdweb…
En respuesta, la plataforma de desarrollo de contratos inteligentes OpenZepplin y los mercados de tokens no fungibles Coinbase NFT y OpenSea informaron proactivamente a los usuarios sobre la amenaza. Tras una investigación más exhaustiva, OpenZepplin descubrió que la vulnerabilidad se deriva de «una integración problemática de dos estándares específicos»: ERC-2771 y Multicall».
La vulnerabilidad del contrato inteligente en cuestión surge tras la integración de los estándares ERC-2771 y Multicall. OpenZepplin identificó 13 conjuntos de contratos inteligentes vulnerables, como se muestra a continuación. Sin embargo, se aconseja a los proveedores de servicios cripto que aborden el problema antes de que malos actores encuentren la forma de explotar la vulnerabilidad.
La investigación de OpenZepplin descubrió que el estándar ERC-2771 permite anular ciertas funciones de llamada. Esto podría aprovecharse para extraer la información de la dirección del remitente y falsificar llamadas en su nombre.
OpenZepplin aconsejó a la comunidad Website3 que utiliza las integraciones mencionadas que utilice un método de 4 pasos para garantizar la seguridad: desactivar todos los remitentes de confianza, pausar el contrato y revocar las aprobaciones, preparar una actualización y evaluar las opciones de instantáneas.
Critical
On November 20th, 2023 6pm PST, we became knowledgeable of a security vulnerability in a usually employed open up-source library in the internet3 sector.
This impacts a variety of clever contracts throughout the world wide web3 ecosystem, including some of thirdweb’s pre-designed wise contracts.…
— thirdweb (@thirdweb) December 5, 2023
Además, Thirdweb lanzó una herramienta de mitigación que permite a los usuarios conectar sus billeteras e identificar si un contrato es susceptible.
Nowadays the @OpenZeppelin staff disclosed facts about the @thirdweb vulnerabilities to our group. We have identified a number of functions in the Relay contracts that could be griefed. As this sort of, we are deactivating Relay until the necessary changes can be made.
To be completely crystal clear,…
— Velodrome (@VelodromeFi) December 8, 2023
Hoy el equipo de @OpenZeppelin ha revelado detalles sobre las vulnerabilidades de @thirdweb a nuestro equipo. Hemos identificado algunas funciones en los contratos Relay que podrían ser vulneradas. Como tal, estamos desactivando Relay hasta que se puedan hacer los ajustes necesarios.
Para que quede absolutamente claro,…
La plataforma de finanzas descentralizadas Velodrome también desactivó sus servicios de retransmisión hasta que se instale una nueva versión.
En un artículo reciente de Noticias Blockchain Magazine, los expertos revelaron cómo la inteligencia synthetic (IA) puede ayudar a auditar los contratos inteligentes y ayudar a los esfuerzos de ciberseguridad.
gm ☕️
As an individual with zero Solidity proficiency, I experienced an presently effective smart agreement tailor-made to my personal needs by AI.
I dumped @Azuki‘s clever agreement into GPT-4 and had it ask me appropriate issues.
Disclaimer: Expert human audits and devs are however significant to… pic.twitter.com/K4UGfFC5dp
— SV (@0xSMV) March 16, 2023
¡Buenos días! ☕️
Como alguien con cero conocimientos de Solidity, tenía un contrato inteligente ya eficiente adaptado a mis propias necesidades por la IA.
Volqué el contrato inteligente de @Azuki en GPT-4 e hice que me hiciera preguntas relevantes.
Descargo de responsabilidad: Las auditorías y los desarrolladores humanos profesionales siguen siendo importantes para…
James Edwards, el mantenedor principal del investigador de ciberseguridad Librehash, dijo que si bien los chatbots de IA pueden desarrollar contratos inteligentes, implementarlos en un entorno en vivo es arriesgado.
Por otro lado, Edwards destacó el potencial de la tecnología para investigar contratos inteligentes. Pruebas recientes demostraron la capacidad de la IA para «auditar contratos con una precisión sin precedentes que supera con creces lo que cabría esperar y recibir de GPT-4»
Aunque admite que todavía no es tan buena como un auditor humano, ya puede hacer una primera pasada sólida para acelerar el trabajo del auditor y hacerlo más exhaustivo.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto whole invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.
