Фирма по разработке смарт-контрактов Thirdweb сообщила об уязвимости безопасности, которая потенциально «затрагивает различные смарт-контракты в экосистеме Web3».
4 декабря Thirdweb сообщила об уязвимости в широко используемой библиотеке Library с открытым исходным кодом, которая может повлиять на некоторые предварительно созданные смарт-контракты, включая некоторые из ее собственных. Однако расследование Thirdweb пришло к выводу, что уязвимость смарт-контракта еще не была использована, что дает компаниям Web3 небольшую возможность избежать возможного взлома.
Подчеркивая, что уязвимость может нанести огромный ущерб, если ее не устранить немедленно, Thirdweb заявил:
«Затронутые готовые контракты включают, помимо прочего, DropERC20, ERC721, ERC1155 (все версии) и AirdropERC20».
После упреждающего предупреждения экосистеме Web3 фирма предупредила пользователей, которые развернули ее контракты до 22 ноября, «предпринимать меры по смягчению последствий» самостоятельно или с помощью инструмента, предоставленного компанией.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source Library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Thirdweb также посоветовал разработчикам помочь пользователям отозвать одобрение всех затронутых контрактов с помощью revoke.cash, «который защитит ваших пользователей, если вы решите не смягчать условия контракта». Разработчик Defillama «0xngmi» прокомментировал запрос на отзыв одобрений.
btw this seems important, theyre asking to revoke all approvals to third web contracts (you might have interacted with them without knowing as theyre white-labelled, especially if you do stuff around nfts) https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) December 5, 2023
Thirdweb связалась с сопровождающими Library с открытым исходным кодом, которая обнаружила причину уязвимости, и связалась с другими командами, потенциально затронутыми этой проблемой.
Он также пообещал увеличить инвестиции в меры безопасности и удвоить выплаты за обнаружение ошибок с 25 000 до 50 000 долларов США, одновременно внедряя более строгий процесс аудита. Фирма также предложила грант на покрытие смягчения последствий контракта.
«Мы понимаем, что это вызовет сбои, и относимся к смягчению проблемы со всей серьезностью. Мы будем предлагать ретроактивный грант на газ для покрытия сборов за смягчение последствий контракта».
Полная информация об уязвимости не была раскрыта в целях безопасности, и Cointelegraph связался с Thirdweb для получения дальнейших обновлений, но был перенаправлен на сообщение в блоге.
Связано: 5 уязвимостей смарт-контрактов: как их выявить и устранить
В августе 2022 года компания привлекла 24 миллиона долларов в раунде финансирования серии A с Haun Ventures, Coinbase, Shopify и Polygon.
Компания Web3, которая предоставляет инструменты развертывания смарт-контрактов с несколькими цепочками для игр, майнинга, торговых площадок и кошельков, утверждает, что ее услугами пользуются более 70 000 разработчиков каждый месяц.
