PANews 12月8日消息,安全公司Dedaub在X平台上表示,Thirdweb漏洞的根本原因是,兩個獨立的OpenZeppelin庫,即ERC2771和Multicall,在結合使用時發生了交互不良的問題。這樣就可以欺騙_msgSender(),造成各種存取控制問題,包括資金損失。
而OpenZeppelin也對此事進行了披露:「我們公開披露一個嚴重漏洞,該漏洞是由於標準ERC-2771和自委託呼叫與用戶輸入資料(包括但不限於多重呼叫)的整合有問題而產生的。對於結合這些模式的專案來說,此問題帶來了地址欺騙攻擊的重大風險。此問題是由有問題的整合模式引起的,並不是OpenZeppelin Contracts庫中包含的實現所特有的。儘管如此,我們的團隊一直在努力與白帽社區合作,識別並通知潛在的易受攻擊的項目。”
先前12月5日消息,Thirdweb表示,某常用開源庫存在安全漏洞,11月23日前在平台創建的合約須採取緩解措施。
