اختر منطقتك 
بعد وقت قصير من كشف Thirdweb عن ثغرة أمنية يمكن أن تؤثر على مجموعة متنوعة من العقود الذكية الشائعة المستخدمة عبر نظام Web3 البيئي، حددت OpenZeppelin معيارين محددين باعتبارهما السبب الجذري للتهديد.
في 4 ديسمبر، أبلغت شركة Thirdweb عن ثغرة أمنية في مكتبة مفتوحة المصدر شائعة الاستخدام، مما قد يؤثر على العقود المعدة مسبقًا، بما في ذلك DropERC20 وERC-721 وERC-1155 (جميع الإصدارات) وAirdropERC20.
مهم
في 20 نوفمبر 2023 الساعة 6 مساءً بتوقيت المحيط الهادئ، أصبحنا على علم بوجود ثغرة أمنية في مكتبة مفتوحة المصدر شائعة الاستخدام في صناعة web3.
يؤثر هذا على مجموعة متنوعة من العقود الذكية عبر نظام web3 البيئي، بما في ذلك بعض العقود الذكية المعدة مسبقًا لـ Thirdweb.
– ثيرد ويب (@thirdweb) 5 ديسمبر 2023
ردا على ذلك، منصة تطوير العقود الذكية أوبنزيبلين وأسواق الرموز غير القابلة للاستبدال كوين بيس NFT و البحر المفتوح إبلاغ المستخدمين بشكل استباقي بالتهديد. وبعد مزيد من التحقيق، وجدت OpenZepplin أن الثغرة الأمنية تنبع من “مشكلة التكامل بين معيارين محددين: ERC-2771 وMulticall”.
تنشأ ثغرة العقد الذكي المعنية بعد دمج ERC-2771 ومعايير المكالمات المتعددة. حددت OpenZepplin 13 مجموعة من العقود الذكية الضعيفة، كما هو موضح أدناه. ومع ذلك، يُنصح مقدمو خدمات التشفير بمعالجة المشكلة قبل أن تجد الجهات الفاعلة السيئة طريقة لاستغلال الثغرة الأمنية.
وجد تحقيق OpenZepplin أن معيار ERC-2771 يسمح بتجاوز وظائف اتصال معينة. يمكن استغلال ذلك لاستخراج معلومات عنوان المرسل وإجراء مكالمات وهمية نيابة عنه.
نصحت OpenZepplin مجتمع Web3 باستخدام عمليات التكامل المذكورة أعلاه لاستخدام طريقة من 4 خطوات لضمان السلامة: تعطيل كل وكيل موثوق به، وإيقاف العقد مؤقتًا وإلغاء الموافقات، وإعداد ترقية وتقييم خيارات اللقطة.
مهم
في 20 نوفمبر 2023 الساعة 6 مساءً بتوقيت المحيط الهادئ، أصبحنا على علم بوجود ثغرة أمنية في مكتبة مفتوحة المصدر شائعة الاستخدام في صناعة web3.
يؤثر هذا على مجموعة متنوعة من العقود الذكية عبر نظام web3 البيئي، بما في ذلك بعض العقود الذكية المعدة مسبقًا لـ Thirdweb.
– ثيرد ويب (@thirdweb) 5 ديسمبر 2023
بالإضافة إلى ذلك، أطلقت شركة Thirdweb أداة تخفيف تسمح للمستخدمين بربط محافظهم وتحديد ما إذا كان العقد عرضة للخطر.
اليوم هو @أوبنزيبلين وكشف الفريق عن تفاصيل حول @thirdweb نقاط الضعف لفريقنا. لقد حددنا بعض الوظائف في عقود الترحيل التي قد يتم إلغاؤها. على هذا النحو، نقوم بإلغاء تنشيط الترحيل حتى يتم إجراء التعديلات اللازمة.
ولكي نكون واضحين تمامًا،…
– فيلودروم (@VelodromeFi) 8 ديسمبر 2023
قامت منصة التمويل اللامركزية Velodrome أيضًا بإلغاء تنشيط خدمات الترحيل الخاصة بها حتى يتم تثبيت إصدار جديد.
متعلق ب: تحصل شبكة Coinbase الأساسية على تكامل أمان OpenZeppelin
وفي مقال نشر مؤخرًا في مجلة كوينتيليغراف، كشف الخبراء كيف يمكن للذكاء الاصطناعي (AI) أن يساعد في تدقيق العقود الذكية ومساعدة جهود الأمن السيبراني.
جم☕️
باعتباري شخصًا لا يتمتع بأي كفاءة في Solidity، كان لدي بالفعل عقد ذكي فعال مصمم خصيصًا لتلبية احتياجاتي الخاصة بواسطة الذكاء الاصطناعي.
أنا ملقاة @أزوكيالعقد الذكي الخاص بـ GPT-4 وطلب مني طرح أسئلة ذات صلة.
إخلاء المسؤولية: لا تزال عمليات التدقيق البشري والتطوير المهني مهمة بالنسبة… pic.twitter.com/K4UGfFC5dp
— إس في (@0xSMV) 16 مارس 2023
قال جيمس إدواردز، المشرف الرئيسي على محقق الأمن السيبراني Librehash، إنه في حين أن روبوتات الدردشة التي تعمل بالذكاء الاصطناعي يمكنها تطوير عقود ذكية، فإن نشرها في بيئة حية يعد أمرًا محفوفًا بالمخاطر.
من ناحية أخرى، سلط إدواردز الضوء على إمكانات التكنولوجيا لفحص العقود الذكية. وأظهرت الاختبارات الأخيرة قدرة الذكاء الاصطناعي على “تدقيق العقود بقدر غير مسبوق من الدقة يتجاوز بكثير ما يمكن للمرء أن يتوقعه وما سيحصل عليه من GPT-4.”
وفي حين أنه يقر بأنه ليس بجودة المدقق البشري حتى الآن، إلا أنه يمكنه بالفعل القيام بتمريرة أولى قوية لتسريع عمل المدقق وجعله أكثر شمولاً.
مجلة: الخوف والشك لدى المشرعين هو الدافع وراء لوائح العملة المشفرة المقترحة في الولايات المتحدة
