Фірма з розробки смарт-контрактів Thirdweb повідомила про вразливість безпеки, яка потенційно «впливає на різноманітні смарт-контракти в екосистемі Web3».
4 грудня Thirdweb повідомила про вразливість у часто використовуваній Library з відкритим вихідним кодом, яка може вплинути на певні попередньо створені смарт-контракти, включаючи деякі власні. Однак дослідження Thirdweb дійшли висновку, що вразливість смарт-контракту ще не використана, що дає невелике вікно можливостей для фірм Web3, щоб уникнути можливого злому.
Підкреслюючи, що вразливість може завдати величезної шкоди, якщо її не усунути негайно, Thirdweb заявив:
«Попередньо зібрані контракти, яких це стосується, включають, але не обмежуються DropERC20, ERC721, ERC1155 (усі версії) і AirdropERC20».
Після проактивного попередження для екосистеми Web3 фірма попередила користувачів, які розгорнули її контракти до 22 листопада, «вжити заходів щодо пом’якшення» самостійно або за допомогою інструменту, наданого компанією.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source Library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Thirdweb також порадив розробникам допомогти користувачам відкликати схвалення всіх постраждалих контрактів за допомогою revoke.cash, «що захистить ваших користувачів, якщо ви вирішите не пом’якшувати договір». Розробник Defillama «0xngmi» прокоментував запит на відкликання дозволів.
btw this seems important, theyre asking to revoke all approvals to third web contracts (you might have interacted with them without knowing as theyre white-labelled, especially if you do stuff around nfts) https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) December 5, 2023
Компанія Thirdweb зв’язалася з розробниками Library з відкритим вихідним кодом, яка виявила причину вразливості, а також зв’язалася з іншими командами, які потенційно постраждали від цієї проблеми.
Він також пообіцяв збільшити інвестиції в заходи безпеки та подвоїти виплати винагород за помилки з 25 000 до 50 000 доларів США, запровадивши більш ретельний процес аудиту. Фірма також запропонувала грант на пом’якшення контракту.
«Ми розуміємо, що це спричинить збій, і ми з усією серйозністю ставимося до пом’якшення проблеми. Ми будемо пропонувати ретроактивний грант на газ для покриття плати за пом’якшення контракту».
Повна інформація про вразливість не була розкрита з міркувань безпеки, і Cointelegraph зв’язався з Thirdweb для подальших оновлень, але був перенаправлений на публікацію в блозі.
За темою: 5 вразливостей смарт-контрактів: як їх виявити та пом’якшити
У серпні 2022 року фірма залучила 24 мільйони доларів у раунді фінансування серії A за участю Haun Ventures, Coinbase, Shopify і Polygon.
Компанія Web3, яка надає багатоланцюгові інструменти розгортання смарт-контрактів для ігор, карбування, ринків і гаманців, стверджує, що її послугами щомісяця користуються понад 70 000 розробників.
