A segurança na blockchain Ethereum enfrenta um desafio significativo, conforme revelado pela OpenZeppelin, especialista em segurança digital.
Uma vulnerabilidade crítica foi identificada na integração dos padrões ERC-2771 e Multicall, resultando em riscos para usuários e projetos, inclusive permitindo o roubo de fundos em Ether (ETH) e USD Coin (USDC).
A falha na integração do ERC-2771 e do Multicall, apontada pela OpenZeppelin, impacta uma vasta gama de contratos inteligentes. Isso inclui suporte para tokens ERC-20 (usados por stablecoins) e ERC-721 (utilizados em NFTs), gerando um possível ataque de “falsificação de endereço”. Esse método enganoso levou ao roubo de 87 ETH e 17.394 USDC.
A vulnerabilidade foi descoberta em 20 de novembro, quando a equipe da OpenZeppelin recebeu um alerta da ThirdWeb, empresa que oferece soluções para projetos na web3.
Após validação rápida, ficou claro que o problema não se limitava à biblioteca de contratos da OpenZeppelin, afetando, portanto, diversos contratos inteligentes.
Falhas causam roubo de Ethereum
Para identificar contratos vulneráveis, a OpenZeppelin disponibiliza ferramentas como o Code Inspector. A ThirdWeb também oferece uma plataforma para verificar a segurança de contratos implementados por sua biblioteca.
Medidas de mitigação incluem desativar encaminhadores confiáveis, pausar contratos, revogar aprovações de permissão e preparar atualizações para recuperar contratos afetados. A OpenZeppelin lançou uma atualização para o OpenZeppelin Contracts (versões 4.x e 5.x), permitindo o uso seguro do Multicall com ERC-2771, minimizando os riscos.
O padrão ERC-2771 estabelece uma norma para transações de meta-transações, permitindo que um despachante atue como intermediário, garantindo a transmissão correta das informações do remetente.
Já o padrão Multicall (ERC-6357) permite várias chamadas de função em uma única transação, reduzindo os custos de gás. A falha na integração desses padrões resultou na vulnerabilidade de “falsificação de endereço arbitrário”, permitindo a manipulação maliciosa da resolução do remetente e facilitando o roubo de fundos.
Diante dessa situação crítica, a comunidade está ativamente engajada na busca por soluções e atualizações para proteger os contratos e usuários afetados.
- Leia também: Bitcoin pode ampliar sequência e BONK dispara 36%
Posts relacionados
Carteiras do cofundador da Sky Mavis são hackeadas em US$ 9,7 milhões
Jeffrey Zirlin, um dos criadores da Sky Mavis, responsável pelo popular jogo Axie Infinity, relatou que duas de suas carteiras foram alvo de um ataque hacker na manhã de sexta-f...
Protocolo DeFi perde R$ 10 milhões em nova falha de segurança
O protocolo de finanças descentralizadas Platypus Finance sofreu grande violação de segurança, perdendo cerca de US$ 2 milhões, R$ 10 milhões em valores atuais. A falha ocorreu ...
Smartphone da Solana é vulnerável a exploração crítica, revela Certik
O smartphone de Solana, o Saga, é vulnerável a um ataque que pode colocar quaisquer criptomoedas armazenadas nele “em risco extremo”, de acordo com um comunicado enviado por e-m...
Ledger falsa na Microsoft Store rouba 17 Bitcoins
Recentemente, um aplicativo falso que prometia oferecer acesso à popular carteira de hardware Ledger acabou por roubar 17 Bitcoins (BTC) e cerca de US$ 180 mil em outras criptom...
Carnaval: Confira dicas para evitar golpes digitais
Com a proximidade do Carnaval, uma das épocas mais aguardadas do ano, os foliões se preparam para desfrutar da festa. No entanto, além da diversão, é necessário estar atento aos...
Exchange KyberSwap perde R$ 200 milhões em ataque hacker
A exchange descentralizada (DEX) KyberSwap sofreu um ataque hacker de proporções significativas, resultando na perda de aproximadamente US$ 46 milhões em várias criptomoedas. ...
CoinEx oferece recompensa a hackers por devolução de fundos
A exchange CoinEx, que recentemente sofreu um grande ataque hacker, entrou em contato com os autores do roubo disposta a negociar. A exchange afirmou que está disposta a pagar u...
Trezor informa que 66 mil usuários foram afetados por incidente de segurança
A Trezor, fabricante de carteiras de hardware para criptomoedas, anunciou que está investigando um incidente de segurança que ocorreu em 17 de janeiro de 2024. O incidente envol...
Plataforma de jogos perde US$ 63 milhões em ataque
A Munchables, uma popular plataforma de jogos em blockchain, sofreu um ataque hacker de grandes proporções. De acordo com a equipe do projeto, os invasores conseguiram roubar ...