Importante Vulnerabilidad en Ethereum Expone Fondos de Usuarios

La firma de seguridad líder, OpenZeppelin, ha alertado sobre un riesgo significativo que amenaza la seguridad de varios proyectos en la red Ethereum. La compañía especializada en seguridad blockchain reveló una vulnerabilidad crítica en la integración de los estándares ERC-2771 y Multicall, lo que ha puesto en peligro a numerosos usuarios y proyectos, llegando incluso a facilitar el robo de fondos en ethers (ETH) y la stablecoin USD Coin (USDC).

Integración Problemática: Un Riesgo para Contratos Inteligentes

La «integración problemática» de ERC-2771 y Multicall, según OpenZeppelin, afecta a una amplia variedad de contratos inteligentes, incluyendo aquellos que respaldan tokens ERC-20 y ERC-721. Esta vulnerabilidad ha generado la posibilidad de un ataque de «address spoofing» o «engaño de dirección», dando lugar a ataques que resultaron en el robo de 87 ETH (aproximadamente USD 205,000) y 17,394 USDC.

Detección y Acción Rápida

OpenZeppelin identificó la vulnerabilidad el 20 de noviembre después de recibir una advertencia de ThirdWeb, una empresa de soluciones tecnológicas para proyectos en la web3. La información se hizo pública dos semanas después para permitir el desarrollo de soluciones antes de la divulgación, siguiendo las prácticas habituales en casos como estos.

Cómo Identificar el Riesgo y Prevenir Ataques

La vulnerabilidad permite el «Arbitrary Address Spoofing», permitiendo a los atacantes cambiar la identidad del remitente fraudulentamente. OpenZeppelin proporciona herramientas como Code Inspector para identificar contratos vulnerables, mientras que ThirdWeb ofrece una plataforma para verificar la seguridad de contratos inteligentes.

Las medidas de mitigación recomendadas incluyen desactivar los forwarders de confianza, pausar contratos si es posible, y alentar a los usuarios a revocar aprobaciones de permisos. Además, se sugiere la preparación de actualizaciones o la evaluación de opciones para revertir contratos a un estado seguro previo.

Solución y Respuesta de OpenZeppelin

OpenZeppelin lanzó una actualización para OpenZeppelin Contracts (versiones 4.x y 5.x) que habilita un uso seguro de Multicall con ERC-2771. La nueva versión de Multicall incorpora una longitud de sufijo de contexto para minimizar riesgos al identificar y adaptarse a llamadas de forwarders confiables.

Los Estándares Afectados y sus Funciones en Ethereum

El estándar ERC-2771 en Ethereum establece un requisito para comentarios en transacciones, permitiendo que un «forwarder» actúe como intermediario y mejore la eficiencia de las transacciones. Por otro lado, el estándar Multicall (ERC-6357) permite realizar múltiples llamadas a funciones en una única transacción, ahorrando costos de gas.

En conclusión, la integración problemática de Multicall con ERC-2771 ha creado una vulnerabilidad conocida como «Arbitrary Address Spoofing», exponiendo los fondos de usuarios y proyectos en Ethereum. La rápida respuesta de OpenZeppelin ofrece una solución para mitigar estos riesgos y proteger la integridad de la red.