금요일, 3월 1, 2024
블록체인ERC-2771 통합으로 주소 스푸핑 취약점 발생 — OpenZeppelin

ERC-2771 통합으로 주소 스푸핑 취약점 발생 — OpenZeppelin

Thirdweb이 Web3 생태계에서 사용되는 다양한 일반적인 스마트 계약에 영향을 미칠 수 있는 보안 취약점을 공개한 직후 OpenZeppelin은 두 가지 특정 표준을 위협의 근본 원인으로 식별했습니다.

12월 4일, Thirdweb은 DropERC20, ERC-721, ERC-1155(모든 버전) 및 AirdropERC20을 포함하여 사전 구축된 계약에 영향을 미칠 수 있는 일반적으로 사용되는 오픈 소스 라이브러리의 취약점을 보고했습니다.

이에 대응하여 스마트 계약 개발 플랫폼 오픈제플린 대체 불가능한 토큰 마켓플레이스 코인베이스 NFT 그리고 오픈씨 사용자에게 위협에 대해 사전에 알립니다. OpenZepplin은 추가 조사를 통해 이 취약점이 “ERC-2771 및 Multicall이라는 두 가지 특정 표준의 문제 있는 통합”에서 비롯된다는 사실을 발견했습니다.

문제의 스마트 계약 취약점은 ERC-2771과 다중 호출 표준의 통합 이후에 발생합니다. OpenZepplin은 아래와 같이 취약한 스마트 계약 세트 13개를 식별했습니다. 그러나 암호화 서비스 제공업체는 악의적인 행위자가 취약점을 악용할 방법을 찾기 전에 문제를 해결하는 것이 좋습니다.

ERC-2771 통합과 관련된 스마트 계약 취약점. 출처: Thirdweb

OpenZepplin의 조사에 따르면 ERC-2771 표준은 특정 통화 기능을 재정의할 수 있는 것으로 나타났습니다. 이는 발신자의 주소 정보를 추출하고 대신 전화를 스푸핑하는 데 악용될 수 있습니다.

공격자는 잠재적으로 단일 다중 호출(바이트()) 내에서 여러 스푸핑된 호출을 래핑할 수 있습니다. 출처: OpenZeppelin

오픈제플린 조언하다 앞서 언급한 통합을 사용하는 Web3 커뮤니티는 안전을 보장하기 위한 4단계 방법을 사용합니다. 모든 신뢰할 수 있는 전달자를 비활성화하고 계약을 일시 중지하고 승인을 취소하고 업그레이드를 준비하고 스냅샷 옵션을 평가합니다.

또한 Thirdweb은 완화 조치를 시작했습니다. 도구 이를 통해 사용자는 지갑을 연결하고 계약이 취약한지 확인할 수 있습니다.

분산형 금융 플랫폼 벨로드롬(Velodrome)도 새 버전이 설치될 때까지 중계 서비스를 비활성화했습니다.

최근 Cointelegraph Magazine 기사에서 전문가들은 인공 지능(AI)이 스마트 계약을 감사하고 사이버 보안 노력을 지원하는 데 어떻게 도움이 될 수 있는지 밝혔습니다.

사이버 보안 조사관 Librehash의 수석 관리자인 James Edwards는 AI 챗봇이 스마트 계약을 개발할 수 있지만 이를 실제 환경에 배포하는 것은 위험하다고 말했습니다.

반면에 Edwards는 스마트 계약을 조사할 수 있는 기술의 잠재력을 강조했습니다. 최근 테스트에서는 AI가 “GPT-4에서 기대할 수 있고 받을 수 있는 것보다 훨씬 뛰어난 정확도로 계약을 감사”하는 능력을 보여주었습니다.

그는 아직 인간 감사자만큼 좋지는 않다는 점을 인정하지만 이미 감사자의 작업 속도를 높이고 더 포괄적으로 만드는 강력한 첫 번째 단계를 수행할 수 있습니다.


RELATED ARTICLES

회신을 남겨주세요

귀하의 의견을 입력하십시오!
여기에 이름을 입력하십시오.

가장 인기 있는