A segurança na blockchain Ethereum enfrenta um desafio significativo
A segurança digital é uma preocupação fundamental para os usuários e projetos usando a blockchain Ethereum. Recentemente, a OpenZeppelin, especialista em segurança digital, revelou uma vulnerabilidade crítica na integração dos padrões ERC-2771 e Multicall, que pode resultar em riscos sérios, incluindo o roubo de fundos em Ether (ETH) e USD Coin (USDC).
A vulnerabilidade na integração do ERC-2771 e do Multicall
A OpenZeppelin identificou uma falha na integração dos padrões ERC-2771 e Multicall, que afeta uma ampla gama de contratos inteligentes na blockchain Ethereum. Essa vulnerabilidade se estende ao suporte para tokens ERC-20 (usados por stablecoins) e ERC-721 (utilizados em NFTs) e permite um possível ataque de "falsificação de endereço". Como resultado dessa falha, cerca de 87 ETH e 17.394 USDC foram roubados.
Essa vulnerabilidade foi descoberta no dia 20 de novembro, quando a equipe da OpenZeppelin recebeu um alerta da ThirdWeb, uma empresa que oferece soluções para projetos na web3. Após uma rápida validação, ficou claro que o problema não estava limitado apenas à biblioteca de contratos da OpenZeppelin, afetando, portanto, diversos contratos inteligentes.
Medidas de mitigação e atualizações
Diante dessa vulnerabilidade crítica, a OpenZeppelin disponibiliza ferramentas como o Code Inspector para identificar contratos vulneráveis. Além disso, a ThirdWeb também oferece uma plataforma para verificar a segurança de contratos implementados por sua biblioteca.
Para mitigar os riscos, várias medidas podem ser tomadas, incluindo a desativação de encaminhadores confiáveis, a pausa de contratos, a revogação de aprovações de permissão e a preparação de atualizações para recuperar contratos afetados. A OpenZeppelin lançou uma atualização para o OpenZeppelin Contracts (versões 4.x e 5.x), permitindo o uso seguro do Multicall com ERC-2771 e minimizando os riscos associados a essa vulnerabilidade.
Os padrões ERC-2771 e Multicall
O ERC-2771 estabelece uma norma para transações de meta-transações na blockchain Ethereum. Esse padrão permite que um despachante atue como intermediário, garantindo a transmissão correta das informações do remetente.
Já o padrão Multicall (ERC-6357) permite várias chamadas de função em uma única transação, reduzindo os custos de gás. No entanto, devido à falha na integração desses padrões, ocorre a vulnerabilidade de "falsificação de endereço arbitrário", o que facilita a manipulação maliciosa da resolução do remetente e facilita o roubo de fundos.
A busca por soluções e atualizações
A comunidade Ethereum está ativamente engajada na busca por soluções e atualizações para proteger os contratos e usuários afetados. É fundamental que os projetos e usuários tomem ações imediatas para mitigar os riscos e garantir a segurança de seus fundos.
A Ethereum continua sendo uma plataforma inovadora e revolucionária, mas é importante que os usuários estejam cientes dos desafios de segurança associados a ela. Com as medidas de mitigação adequadas e as atualizações necessárias, é possível fortalecer a segurança da blockchain Ethereum e proteger os usuários de possíveis ataques.
Redes sociais