OpenZeppelin 关于如何保护您的 Web3 投资的提示。

Thirdweb 最近发现了一个漏洞，影响了Web3生态系统中广泛使用的许多标准智能合约。OpenZeppelin 的专家已确定两个特定标准作为威胁的根本原因。

12 月 4 日，Thirdweb 报告了一个流行开源库中的缺陷，该缺陷可能会影响包括 DropERC20、ERC-721、ERC-1155（所有版本）和 AirdropERC20 在内的预构建合约。

作为回应，OpenZeppelin、Coinbase NFT 和 OpenSea 向用户通报了潜在威胁。经过进一步调查，OpenZeppelin 发现该漏洞是由于“两个标准的有问题的集成：ERC-2771 和 Multicall”造成的。

ERC-2771与多调用标准整合后出现智能合约 漏洞。OpenZeppelin 已识别出 13 组易受攻击的智能合约。专家建议加密服务提供商在诈骗者利用该漏洞达到自己目的之前解决这个问题。

OpenZeppelin 发现 ERC-2771 标准允许覆盖某些调用函数，这些函数可用于提取发件人地址信息并代表其进行欺骗调用。

OpenZeppelin 使用上述集成为 Web3 社区开发了全面的四步安全策略。该计划包括以下步骤：

• 禁用所有可信转发器是一项旨在防止通过外部渠道进行未经授权的操作的措施。
• 合同暂停和撤销批准- 暂时停止所有操作并取消先前批准的活动，以防止可能的漏洞。
• 准备合同更新- 开发和实施更新以解决漏洞。
• 评估快照选项- 出于安全和恢复目的，分析并选择保留合约当前状态的最佳方法。

此外，Thirdweb 还推出了一款缓解工具，允许用户连接他们的钱包并确定合约是否容易受到攻击。

去中心化金融平台 Velodrome 也已停用其中继服务，等待安装新版本。