概要

Thirdwebの最近のセキュリティ抜け穴は、OpenZeppelinの二つの独立したライブラリ、ERC2771とMulticallの組み合わせによるものであることが明らかになりました。この組み合わせにより、_msgSender()を欺くことが可能となり、アクセス制御の問題や資金の損失を引き起こすリスクがあります。

OpenZeppelinの声明

OpenZeppelinはこの重大な脆弱性を公開し、標準ERC-2771と自己委任型の呼び出しとユーザー入力データ（特にマルチコール）の統合に問題があることを指摘しました。この問題は、OpenZeppelin Contractsライブラリに固有のものではなく、統合パターンに関連するものです。それにもかかわらず、OpenZeppelinのチームは白帽ハッカーと協力し、潜在的に脆弱なプロジェクトを特定し、通知するために努力しています。

Scam Snifferの警告

Web3の反詐欺プラットフォームであるScam Snifferは、この抜け穴を利用することで、攻撃者がERC20トークンの任意の機能（例えば、破壊や転送）を呼び出すことができると警告しています。

影響を受けるトークン

Scam Snifferによると、メインネット上で515種類のトークンが影響を受けており、そのうち3種類が既に悪用され、攻撃者は約21.8万ドルの利益を得ています。

対応策

Thirdwebは、11月23日以前にプラットフォームで作成された契約に対して緩和措置を講じる必要があると述べています。また、43のチェーン上で8000以上のスマートコントラクトのリスクを軽減するための更新を発表しました。

まとめ

この抜け穴は、ブロックチェーンとスマートコントラクトのセキュリティにおける複雑な統合問題を浮き彫りにし、開発者とセキュリティ専門家に対し、ライブラリとコードの統合において慎重になるよう警告しています。また、このような脆弱性が発生した場合、迅速な対応と透明性が重要であることを示しています。