Dedaub 揭示 Thirdweb 漏洞原因:OpenZeppelin 库交互不良

bitget

Bitget交易所

Bitget交易所是全球前4大交易所之一、打新活动多、领空投到手软,新用户注册即可领取BGB空投

点击注册 进入官网

更多交易所入口

一站式注册各大交易所、点击进入加密世界、永不失联,币安Binance/欧易OKX/GATE.IO芝麻开门/Bitget/抹茶MEXC/火币Huobi

点击进入 永不失联

据 PANews 报道,安全公司 Dedaub 在 X 平台上表示,Thirdweb 漏洞的根本原因是两个独立的 OpenZeppelin 库,即 ERC2771 和 Multicall,在结合使用时发生了交互不良的问题。这样就可以欺骗 _msgSender(),造成各种访问控制问题,包括资金损失。

OpenZeppelin 也对此事进行了披露,表示此问题带来了地址欺骗攻击的重大风险,但问题是由有问题的集成模式引起的,并不是 OpenZeppelin Contracts 库中包含的实现所特有的。此前,Thirdweb 表示,某常用开源库存在安全漏洞,11月23日前在平台创建的合约须采取缓解措施。

bitget

Bitget交易所

Bitget交易所是全球前4大交易所之一、打新活动多、领空投到手软,新用户注册即可领取BGB空投

点击注册 进入官网

更多交易所入口

一站式注册各大交易所、点击进入加密世界、永不失联,币安Binance/欧易OKX/GATE.IO芝麻开门/Bitget/抹茶MEXC/火币Huobi

点击进入 永不失联

目录[+]