Atualizado em 08/12/2023 por Ana Luiza
Uma séria vulnerabilidade em contratos inteligentes do Ethereum foi identificada, alerta a OpenZeppelin, renomada empresa de segurança em blockchain. A descoberta, anunciada nesta sexta-feira (8), revela que investidores estão perdendo Ethereum (ETH), tokens e NFTs devido a essa falha.
O problema tem sua origem na relação entre tokens padrão ERC-2771 e a função Multicall. Apesar de notificações anteriores a diversos players do setor, a OpenZeppelin registrou um roubo significativo de 84,59 ETH (equivalente a R$ 1 milhão), além de outras perdas menores.
Como medida preventiva, a empresa aconselha que desenvolvedores pairem seus contratos, realizem uma atualização e, se necessário, preparem um snapshot para importar saldos para um novo contrato.
Os usuários são orientados a revogar permissões, mesmo que a falha já tenha sido corrigida. Dado que a vulnerabilidade envolve contratos ERC-2771, é possível que o impacto seja limitado.
Descoberta da Vulnerabilidade do Ethereum
A vulnerabilidade foi inicialmente identificada pela Thirdweb em 20 de dezembro. A empresa, após dias de diálogo com outros membros do setor para mitigar o problema, divulgou um comunicado público na última segunda-feira (4). Hoje, a OpenZeppelin forneceu mais detalhes sobre a vulnerabilidade, explicando como o ataque ocorre e destacando perdas sofridas por alguns investidores.
A empresa alerta que qualquer contrato implementando Multicall e ERC-2771 é suscetível à falsificação de endereço. No contexto da biblioteca de contratos OpenZeppelin, a manipulação pode ser realizada com Multicall e ERC2771Context, permitindo que invasores utilizem o delegatecall do Multicall para influenciar a resolução _msgSender() nas subchamadas.
Impacto e Recomendações
Em relação às perdas, um investidor sofreu a significativa perda de 84,59 ETH (R$ 1 milhão), seguido por perdas menores, incluindo 17.394 USDC (R$ 85.400) e valores entre 0,29 ETH e 1,06 ETH, equivalentes a R$ 3.380 e R$ 12.359, respectivamente.
A OpenZeppelin emitiu recomendações cruciais para desenvolvedores e usuários a fim de mitigar a vulnerabilidade, alertando sobre a possibilidade de hackers acessarem funcionalidades dos contratos inteligentes.
As medidas incluem desativação de encaminhadores confiáveis, pausa de contratos, remoção de aprovações pelos usuários, preparação de atualizações e avaliação de opções de snapshot.
Embora a vulnerabilidade seja específica, usuários atentos ao universo das criptomoedas são aconselhados a verificar suas carteiras. No momento desta redação, o Ether (ETH) registra um aumento diário de 3,7%, sendo negociado a US$ 2.380.
Leia também:
- El Salvador libera visto para estrangeiros investidores em Bitcoin
- Binance vai dar 1 Bitcoin e distribuir R$ 2,5 milhões para criadores de conteúdo
- Presidente do Banco Central diz que sistema financeiro deve se manter perto das criptomoedas
- Mistério: Novo CEO da Binance continua escondendo localização da sede da empresa
- Bitcoin supera Tesla e Meta em valor de mercado
- BONK, baseado na Solana, alcança novo recorde com valorização de 678%