OpenZeppelin, empresa especializada en seguridad en redes blockchain, reveló una vulnerabilidad crítica en la integración de los estándares ERC-2771 y Multicall en Ethereum. El problema puso en riesgo a muchos usuarios y proyectos, y hasta permitió el robo de fondos en ethers (ETH) y en la stablecoin USD Coin (USDC).

La «integración problemática» de ERC-2771 y Multicall que describe OpenZeppelin en su comunicado afecta a una amplia gama de contratos inteligentes, incluyendo aquellos que respaldan a los tokens ERC-20 (que usan las stablecoins, por ejemplo) y ERC-721 (el de los tokens no fungibles o NFT).

Esta vulnerabilidad generaba un potencial ataque de «address spoofing», es decir, «engaño de dirección» o «parodia de dirección». Efectivamente, se registraron ataques que llevaron al robo de 87 ETH (aproximadamente USD 205.000, según el índice de precios de CriptoNoticias) y 17.394 USDC.

Cabe destacar que la vulnerabilidad se detectó el 20 de noviembre. Open Zeppelin había recibido una advertencia sobre la vulnerabilidad por parte del equipo de ThirdWeb, empresa que brinda soluciones tecnológicas para proyectos en la denominada web3. El tema se hizo público dos semanas más tarde para poder trabajar en una solución antes de anunciarlo, como suele pasar en estos casos.