Vulnerabilidade em contratos do Ethereum está roubando criptomoedas, alerta empresa

A OpenZeppelin emite alerta sobre vulnerabilidade em contratos inteligentes de Ethereum

Nesta sexta-feira (8), a OpenZeppelin, uma empresa especializada em segurança de blockchain, emitiu um alerta preocupante para a comunidade cripto. De acordo com a empresa, uma vulnerabilidade em contratos inteligentes de Ethereum está resultando no roubo tanto de ETH quanto de tokens e NFTs de investidores.

A origem do problema está relacionada aos tokens padrão ERC-2771 e à função Multicall. Embora a vulnerabilidade já tenha sido comunicada a vários participantes do setor, a empresa constatou o roubo de 84,59 ETH (equivalente a R$ 1 milhão) e de outros valores menores.

A descoberta da vulnerabilidade e suas consequências

A vulnerabilidade nos contratos de Ethereum foi inicialmente descoberta pela Thirdweb no dia 20. No entanto, a empresa passou os dias seguintes discutindo o problema com outros stakehorlders para encontrar soluções e mitigar os danos. Somente na última segunda-feira (4), a Thirdweb divulgou um comunicado público sobre a vulnerabilidade.

Já nesta sexta-feira (8), a OpenZeppelin divulgou mais detalhes sobre a vulnerabilidade, explicando como ocorre o ataque e mencionando as perdas sofridas por alguns investidores.

"No contexto da biblioteca de contratos OpenZeppelin, isso pode ser feito com Multicall e ERC2771Context", informou a empresa. "Um invasor pode agrupar um calldata malicioso em uma solicitação encaminhada e usar o recurso delegatecall do Multicall para manipular a resolução _msgSender() nas subcalls."

Em relação às perdas, um único usuário perdeu 84,59 ETH (equivalente a R$ 1 milhão). Em seguida, foram registradas perdas menores, incluindo 17.394 USDC (equivalente a R$ 85.400) e valores entre 0,29 ETH e 1,06 ETH (equivalentes a R$ 3.380 e R$ 12.359, respectivamente).

Recomendações para desenvolvedores

A OpenZeppelin também emitiu uma série de recomendações importantes para desenvolvedores e usuários, com o intuito de mitigar a vulnerabilidade. Além do roubo de criptomoedas, os hackers também podem acessar funcionalidades dos contratos inteligentes.

As recomendações incluem:

• Desative todos os encaminhadores confiáveis (se possível)
• Pausar o contrato (se possível)
• Pedir aos usuários para remover qualquer aprovação dos seus contratos (se necessário)
• Preparar uma atualização (se possível)
• Avaliar as opções de snapshot

Conclusão

Apesar da vulnerabilidade em contratos inteligentes de Ethereum ser específica, é importante que os usuários verifiquem suas carteiras, principalmente se forem usuários ativos de criptomoedas. No momento desta redação, o Ether (ETH) possui uma alta diária de 3,7%, sendo negociado a US$ 2.380.