Thirdweb漏洞系兩個獨立的OpenZeppelin庫集成問題導致

WEEX Blog 唯客博客， PANews 12月8日消息，安全公司Dedaub在X平台上表示，Thirdweb漏洞的根本原因是，兩個獨立的OpenZeppelin庫，即ERC2771和Multicall，在結合使用時發生了交互不良的問題。這樣就可以欺騙_msgSender()，造成各種訪問控制問題，包括資金損失。而OpenZeppelin也對此事進行了披露：「我們公開披露一個嚴重漏洞，該漏洞是由於標準ERC-2771和自委託調用與用戶輸入數據（包括但不限於多重調用）的集成有問題而產生的。對於結合這些模式的項目來說，此問題帶來了地址欺騙攻擊的重大風險。此問題是由有問題的集成模式引起的，並不是OpenZeppelin Contracts庫中包含的實現所特有的。儘管如此，我們的團隊一直在努力與白帽社區合作，識別並通知潛在的易受攻擊的項目。WEEX唯客交易所官網：www.weex.com