Thirdweb漏洞系两个独立的OpenZeppelin库集成问题导致

PANews 12月8日消息，安全公司Dedaub在X平台上表示，Thirdweb漏洞的根本原因是，两个独立的OpenZeppelin库，即ERC2771和Multicall，在结合使用时发生了交互不良的问题。这样就可以欺骗_msgSender()，造成各种访问控制问题，包括资金损失。

而OpenZeppelin也对此事进行了披露：“我们公开披露一个严重漏洞，该漏洞是由于标准ERC-2771和自委托调用与用户输入数据（包括但不限于多重调用）的集成有问题而产生的。对于结合这些模式的项目来说，此问题带来了地址欺骗攻击的重大风险。此问题是由有问题的集成模式引起的，并不是OpenZeppelin Contracts库中包含的实现所特有的。尽管如此，我们的团队一直在努力与白帽社区合作，识别并通知潜在的易受攻击的项目。”

此前12月5日消息，Thirdweb表示，某常用开源库存在安全漏洞，11月23日前在平台创建的合约须采取缓解措施。