OpenZeppelin, một công ty chuyên về bảo mật mạng blockchain, đã tiết lộ một lỗ hổng nghiêm trọng trong việc tích hợp các tiêu chuẩn ERC-2771 và Multicall trên Ethereum. Vấn đề này khiến nhiều người dùng và dự án gặp rủi ro, thậm chí cho phép đánh cắp tiền bằng ether (ETH) và stablecoin USD Coin (USDC).

"Sự tích hợp có vấn đề" của ERC-2771 và Multicall mà OpenZeppelin mô tả trong tuyên bố của mình ảnh hưởng đến một loạt các hợp đồng thông minh, bao gồm cả những hợp đồng hỗ trợ mã thông báo ERC-20 (ví dụ như sử dụng stablecoin) và ERC-721 (mã thông báo không thể thay thế hoặc NFT).

Lỗ hổng này đã tạo ra một cuộc tấn công "giả mạo địa chỉ" tiềm năng. Chắc chắn, đã có những cuộc tấn công dẫn đến hành vi trộm cắp 87 ETH (khoảng USD 205.000, theo chỉ số giá CriptoNoticias) và 17.394 USDC.

Đáng chú ý, lỗ hổng được phát hiện vào ngày 20/11. Open Zeppelin đã nhận được cảnh báo về lỗ hổng từ nhóm nghiên cứu tại ThirdWeb, một công ty cung cấp giải pháp công nghệ cho các dự án trong cái gọi là web3. Vấn đề đã được công bố hai tuần sau đó để chúng tôi có thể tìm ra giải pháp trước khi công bố, như thường xảy ra trong những trường hợp này.