Falhas em contratos ERC-277 causa roubo de Ethereum
A segurança na blockchain Ethereum enfrenta um desafio significativo, conforme revelado pela OpenZeppelin, especialista em segurança digital.
Uma vulnerabilidade crítica foi identificada na integração dos padrões ERC-2771 e Multicall, resultando em riscos para usuários e projetos, inclusive permitindo o roubo de fundos em Ether (ETH) e USD Coin (USDC).
A falha na integração do ERC-2771 e do Multicall, apontada pela OpenZeppelin, impacta uma vasta gama de contratos inteligentes. Isso inclui suporte para tokens ERC-20 (usados por stablecoins) e ERC-721 (utilizados em NFTs), gerando um possível ataque de “falsificação de endereço”. Esse método enganoso levou ao roubo de 87 ETH e 17.394 USDC.
A vulnerabilidade foi descoberta em 20 de novembro, quando a equipe da OpenZeppelin recebeu um alerta da ThirdWeb, empresa que oferece soluções para projetos na web3.
Após validação rápida, ficou claro que o problema não se limitava à biblioteca de contratos da OpenZeppelin, afetando, portanto, diversos contratos inteligentes.
Falhas causam roubo de Ethereum
Para identificar contratos vulneráveis, a OpenZeppelin disponibiliza ferramentas como o Code Inspector. A ThirdWeb também oferece uma plataforma para verificar a segurança de contratos implementados por sua biblioteca.
Medidas de mitigação incluem desativar encaminhadores confiáveis, pausar contratos, revogar aprovações de permissão e preparar atualizações para recuperar contratos afetados. A OpenZeppelin lançou uma atualização para o OpenZeppelin Contracts (versões 4.x e 5.x), permitindo o uso seguro do Multicall com ERC-2771, minimizando os riscos.
O padrão ERC-2771 estabelece uma norma para transações de meta-transações, permitindo que um despachante atue como intermediário, garantindo a transmissão correta das informações do remetente.
Já o padrão Multicall (ERC-6357) permite várias chamadas de função em uma única transação, reduzindo os custos de gás. A falha na integração desses padrões resultou na vulnerabilidade de “falsificação de endereço arbitrário”, permitindo a manipulação maliciosa da resolução do remetente e facilitando o roubo de fundos.
Diante dessa situação crítica, a comunidade está ativamente engajada na busca por soluções e atualizações para proteger os contratos e usuários afetados.
- Leia também: Bitcoin pode ampliar sequência e BONK dispara 36%