OpenZeppelin, une société spécialisée dans la sécurité des réseaux blockchain, a révélé une vulnérabilité critique dans l’intégration des normes ERC-2771 et Multicall sur Ethereum. Le problème a mis en danger de nombreux utilisateurs et projets, et a même permis le vol de fonds dans l’éther (ETH) et le stablecoin USD Coin (USDC).

L'« intégration problématique » d’ERC-2771 et de Multicall décrite par OpenZeppelin dans sa déclaration affecte un large éventail de contrats intelligents, y compris ceux qui prennent en charge les jetons ERC-20 (qui utilisent des stablecoins, par exemple) et ERC-721 (celui des jetons non fongibles, ou NFT).

Cette vulnérabilité a généré une attaque potentielle de type « usurpation d’adresse ». Effectivement, il y a eu des attaques qui ont conduit au vol de 87 ETH (environ 205 000 USD, selon l’indice des prix CriptoNoticias) et 17 394 USDC.

La vulnérabilité a notamment été détectée le 20 novembre. Open Zeppelin avait reçu un avertissement concernant la vulnérabilité de la part de l’équipe de ThirdWeb, une société qui fournit des solutions technologiques pour les projets dans le soi-disant web3. Le problème a été rendu public deux semaines plus tard afin que nous puissions travailler sur une solution avant de l’annoncer, comme c’est souvent le cas dans ces cas-là.