12月8日消息,安全公司Dedaub在X平台上表示,Thirdweb漏洞的根本原因是,两个独立的OpenZeppelin库,即ERC2771和Multicall,在结合使用时发生了交互不良的问题。这样就可以欺骗_msgSender(),造成各种访问控制问题,包括资金损失。
而OpenZeppelin也对此事进行了披露:“我们公开披露一个严重漏洞,该漏洞是由于标准ERC-2771和自委托调用与用户输入数据(包括但不限于多重调用)的集成有问题而产生的。对于结合这些模式的项目来说,此问题带来了地址欺骗攻击的重大风险。此问题是由有问题的集成模式引起的,并不是OpenZeppelin Contracts库中包含的实现所特有的。尽管如此,我们的团队一直在努力与白帽社区合作,识别并通知潜在的易受攻击的项目。”
此前12月5日消息,Thirdweb表示,某常用开源库存在安全漏洞,11月23日前在平台创建的合约须采取缓解措施。