据 PANews 报道,安全公司 Dedaub 在 X 平台上表示,Thirdweb 漏洞的根本原因是两个独立的 OpenZeppelin 库,即 ERC2771 和 Multicall,在结合使用时发生了交互不良的问题。这样就可以欺骗 _msgSender(),造成各种访问控制问题,包括资金损失。
OpenZeppelin 也对此事进行了披露,表示此问题带来了地址欺骗攻击的重大风险,但问题是由有问题的集成模式引起的,并不是 OpenZeppelin Contracts 库中包含的实现所特有的。此前,Thirdweb 表示,某常用开源库存在安全漏洞,11月23日前在平台创建的合约须采取缓解措施。
