Vulnerabilidade em contratos do Ethereum está roubando criptomoedas

Por 13/12/2023
13/12/2023


A OpenZeppelin, uma empresa de segurança de blockchain, emitiu um alerta nesta sexta-feira (8) afirmando que uma vulnerabilidade em contratos inteligentes de Ethereum está roubando tanto ETH quanto tokens e NFTs de investidores.

A origem do problema teria ligação com tokens padrão ERC-2771 e a função Multicall. Embora diversos players do setor já tenham sido informados sobre a vulnerabilidade, a empresa notou um roubo de 84,59 ETH (R$ 1 milhão), além de outros menores.

Como recomendação, a empresa pede para que desenvolvedores pausem seus contratos, preparem um upgrade e caso isso não seja possível, se preparam para criar um snapshot para importar os saldos em um novo contrato.

Aos usuários, foi recomendado a revogação de permissões, mesmo que a falha já tenha sido corrigida. Conforme a falha envolve contratos ERC-2771, é possível que o número de afetados seja baixo.

Vulnerabilidade no Ethereum já faz vítimas

A vulnerabilidade nos contratos de Ethereum foi descoberta ainda no dia 20 pela Thirdweb. No entanto, a empresa passou os dias seguintes conversando com outros players para mitigar o problema. Na última segunda-feira (4), a Thirdweb publicou o primeiro comunicado público.

Já nesta sexta-feira (8), a OpenZeppelin revelou mais detalhes sobre a vulnerabilidade, explicando como o ataque funciona e também citando perdas sofridas por alguns investidores.

“Qualquer contrato que implemente Multicall e ERC-2771 é vulnerável à falsificação de endereço.”

“No contexto da biblioteca de contratos OpenZeppelin, isso pode ser feito com Multicall e ERC2771Context”, informou a empresa. “Um invasor pode agrupar um calldata malicioso em uma solicitação encaminhada e usar o recurso delegatecall do Multicall para manipular a resolução _msgSender() nas subcalls.”

Em relação às perdas, um único usuário perdeu 84,59 ETH (R$ 1 milhão). Na sequência aparecem perdas menores, incluindo 17.394 USDC (R$ 85.400) e valores entre 0,29 ETH e 1,06 ETH, equivalentes a R$ 3.380 e R$ 12.359, respectivamente.

Empresa emite recomendações a desenvolvedores

Finalizando, a empresa cita uma série de recomendações para desenvolvedores e usuários para mitigar a vulnerabilidade. Além de roubar criptomoedas, os hackers também podem acessar funcionalidades dos contratos inteligentes.

“As etapas de mitigação recomendadas dependem dos detalhes da instância. Antes de agir, avalie se a vulnerabilidade se espalhou para funções com acesso a outras funções críticas.”

  • Desative todos os encaminhadores confiáveis (se possível)
  • Pause seu contrato (se possível)
  • Peça aos seus usuários para remover qualquer aprovação dos seus contratos (se relevante)
  • Prepare uma atualização (se possível)
  • Avalie as opções de snapshot

Por fim, a vulnerabilidade deve atingir um número mínimo de pessoas, já que é bem específica. De qualquer modo, caso você seja um usuário hardcore de criptomoedas, é melhor conferir sua carteira. No momento desta redação, o Ether (ETH) opera em alta diária de 3,7%, sendo negociado a US$ 2.380.

 

Fonte: livecoins

Isenção de responsabilidade. A Universidade do Bitcoin não endossa nenhum conteúdo nesta página. Embora tenhamos como objetivo fornecer a você informações importantes do mundo das criptomoedas, os leitores devem fazer sua própria pesquisa e análise antes de tomarem quaisquer decisões e assumir total responsabilidade por elas, nem este artigo pode ser considerado como um conselho de investimento.


COMENTÁRIOS