Компания OpenZeppelin, специализирующаяся на безопасности блокчейн-сетей, выявила критическую уязвимость в интеграции стандартов ERC-2771 и Multicall на Ethereum. Проблема поставила под угрозу многих пользователей и проекты, и даже позволила украсть средства в эфире (ETH) и стейблкоине USD Coin (USDC).

«Проблематичная интеграция» ERC-2771 и Multicall, которую OpenZeppelin описывает в своем заявлении, затрагивает широкий спектр смарт-контрактов, в том числе тех, которые поддерживают токены ERC-20 (в которых используются, например, стейблкоины) и ERC-721 (невзаимозаменяемые токены, или NFT).

Эта уязвимость привела к потенциальной атаке «подмена адреса». Конечно, были атаки, которые привели к краже 87 ETH (примерно USD 205 000, согласно индексу цен CriptoNoticias) и 17 394 USDC.

Примечательно, что уязвимость была обнаружена 20 ноября. Компания Open Zeppelin получила предупреждение об уязвимости от команды компании ThirdWeb, которая предоставляет технологические решения для проектов в так называемом web3. Проблема была обнародована через две недели, чтобы мы могли поработать над решением, прежде чем объявлять о нем, как это часто бывает в таких случаях.