.webp)
.webp)
A OpenZeppelin emite alerta sobre vulnerabilidade em contratos inteligentes de Ethereum
Nesta sexta-feira (8), a OpenZeppelin, uma empresa especializada em segurança de blockchain, emitiu um alerta preocupante para a comunidade cripto. De acordo com a empresa, uma vulnerabilidade em contratos inteligentes de Ethereum está resultando no roubo tanto de ETH quanto de tokens e NFTs de investidores.
A origem do problema está relacionada aos tokens padrão ERC-2771 e à função Multicall. Embora a vulnerabilidade já tenha sido comunicada a vários participantes do setor, a empresa constatou o roubo de 84,59 ETH (equivalente a R$ 1 milhão) e de outros valores menores.
A descoberta da vulnerabilidade e suas consequências
A vulnerabilidade nos contratos de Ethereum foi inicialmente descoberta pela Thirdweb no dia 20. No entanto, a empresa passou os dias seguintes discutindo o problema com outros stakehorlders para encontrar soluções e mitigar os danos. Somente na última segunda-feira (4), a Thirdweb divulgou um comunicado público sobre a vulnerabilidade.
Já nesta sexta-feira (8), a OpenZeppelin divulgou mais detalhes sobre a vulnerabilidade, explicando como ocorre o ataque e mencionando as perdas sofridas por alguns investidores.
"No contexto da biblioteca de contratos OpenZeppelin, isso pode ser feito com Multicall e ERC2771Context", informou a empresa. "Um invasor pode agrupar um calldata malicioso em uma solicitação encaminhada e usar o recurso delegatecall do Multicall para manipular a resolução _msgSender() nas subcalls."
Em relação às perdas, um único usuário perdeu 84,59 ETH (equivalente a R$ 1 milhão). Em seguida, foram registradas perdas menores, incluindo 17.394 USDC (equivalente a R$ 85.400) e valores entre 0,29 ETH e 1,06 ETH (equivalentes a R$ 3.380 e R$ 12.359, respectivamente).
Recomendações para desenvolvedores
A OpenZeppelin também emitiu uma série de recomendações importantes para desenvolvedores e usuários, com o intuito de mitigar a vulnerabilidade. Além do roubo de criptomoedas, os hackers também podem acessar funcionalidades dos contratos inteligentes.
As recomendações incluem:
- Desative todos os encaminhadores confiáveis (se possível)
- Pausar o contrato (se possível)
- Pedir aos usuários para remover qualquer aprovação dos seus contratos (se necessário)
- Preparar uma atualização (se possível)
- Avaliar as opções de snapshot
Conclusão
Apesar da vulnerabilidade em contratos inteligentes de Ethereum ser específica, é importante que os usuários verifiquem suas carteiras, principalmente se forem usuários ativos de criptomoedas. No momento desta redação, o Ether (ETH) possui uma alta diária de 3,7%, sendo negociado a US$ 2.380.
Redes sociais