Falhas em contratos ERC-277 causa roubo de Ethereum
Falhas em contratos ERC-277 causa roubo de Ethereum
Segurança

Falhas em contratos ERC-277 causa roubo de Ethereum
09/12/2023

A segurança na blockchain Ethereum enfrenta um desafio significativo, conforme revelado pela OpenZeppelin, especialista em segurança digital.

Uma vulnerabilidade crítica foi identificada na integração dos padrões ERC-2771 e Multicall, resultando em riscos para usuários e projetos, inclusive permitindo o roubo de fundos em Ether (ETH) e USD Coin (USDC).

A falha na integração do ERC-2771 e do Multicall, apontada pela OpenZeppelin, impacta uma vasta gama de contratos inteligentes. Isso inclui suporte para tokens ERC-20 (usados por stablecoins) e ERC-721 (utilizados em NFTs), gerando um possível ataque de “falsificação de endereço”. Esse método enganoso levou ao roubo de 87 ETH e 17.394 USDC.

A vulnerabilidade foi descoberta em 20 de novembro, quando a equipe da OpenZeppelin recebeu um alerta da ThirdWeb, empresa que oferece soluções para projetos na web3.

Após validação rápida, ficou claro que o problema não se limitava à biblioteca de contratos da OpenZeppelin, afetando, portanto, diversos contratos inteligentes.

Falhas causam roubo de Ethereum

Para identificar contratos vulneráveis, a OpenZeppelin disponibiliza ferramentas como o Code Inspector. A ThirdWeb também oferece uma plataforma para verificar a segurança de contratos implementados por sua biblioteca.

Medidas de mitigação incluem desativar encaminhadores confiáveis, pausar contratos, revogar aprovações de permissão e preparar atualizações para recuperar contratos afetados. A OpenZeppelin lançou uma atualização para o OpenZeppelin Contracts (versões 4.x e 5.x), permitindo o uso seguro do Multicall com ERC-2771, minimizando os riscos.

O padrão ERC-2771 estabelece uma norma para transações de meta-transações, permitindo que um despachante atue como intermediário, garantindo a transmissão correta das informações do remetente.

Já o padrão Multicall (ERC-6357) permite várias chamadas de função em uma única transação, reduzindo os custos de gás. A falha na integração desses padrões resultou na vulnerabilidade de “falsificação de endereço arbitrário”, permitindo a manipulação maliciosa da resolução do remetente e facilitando o roubo de fundos.

Diante dessa situação crítica, a comunidade está ativamente engajada na busca por soluções e atualizações para proteger os contratos e usuários afetados.

Posts relacionados

🍪 Você aceita cookies?

Este site utiliza cookies para melhorar a experiência de navegação e disponibilizar funcionalidades adicionais.

Detalhes Aceitar