Фирма по разработке смарт-контрактов Thirdweb сообщила об уязвимости безопасности, которая потенциально «затрагивает различные смарт-контракты в экосистеме Web3».
4 декабря Thirdweb сообщила об уязвимости в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на определенные заранее созданные смарт-контракты, включая некоторые из ее собственных. Однако расследование Thirdweb пришло к выводу, что уязвимость смарт-контракта еще не была использована, что дает компаниям Web3 небольшую возможность избежать возможного взлома.
Подчеркивая, что уязвимость может нанести огромный ущерб, если ее не устранить немедленно, Thirdweb заявил:
«Затронутые готовые контракты включают, помимо прочего, DropERC20, ERC721, ERC1155 (все версии) и AirdropERC20».
После упреждающего предупреждения экосистеме Web3 фирма предупредила пользователей, которые развернули ее контракты до 22 ноября, «предпринимать меры по смягчению последствий» самостоятельно или с помощью инструмента, предоставленного компанией.
ВАЖНЫЙ
20 ноября 2023 года в 18:00 по тихоокеанскому времени нам стало известно об уязвимости безопасности в широко используемой библиотеке с открытым исходным кодом в индустрии Web3.
Это влияет на различные смарт-контракты в экосистеме web3, включая некоторые предварительно созданные смарт-контракты Thirdweb.…
– Thirdweb (@ Thirdweb) 5 декабря 2023 г.
Thirdweb также посоветовал разработчикам помочь пользователям отозвать одобрения по всем затронутым контрактам с помощью revoke.cash, «который защитит ваших пользователей, если вы решите не смягчить условия контракта», — прокомментировал запрос на отзыв одобрений разработчик DefiLlama «0xngmi».
кстати, это кажется важным, они просят отозвать все одобрения третьих веб-контрактов (возможно, вы взаимодействовали с ними, не зная, поскольку они имеют белую маркировку, особенно если вы занимаетесь чем-то, связанным с nfts) https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) 5 декабря 2023 г.
Thirdweb связался с сопровождающими библиотеки с открытым исходным кодом, которая является источником уязвимости, а также с другими командами, потенциально затронутыми этой проблемой.
Он также пообещал увеличить инвестиции в меры безопасности и удвоить выплаты за обнаружение ошибок с 25 000 до 50 000 долларов США, одновременно внедряя более строгий процесс аудита. Фирма также предложила грант на покрытие смягчения последствий контракта.
«Мы понимаем, что это вызовет сбои, и относимся к смягчению проблемы со всей серьезностью. Мы будем предлагать ретроактивный грант на газ для покрытия сборов за смягчение последствий контракта».
Полная информация об уязвимости не была раскрыта в целях безопасности, и связался с Thirdweb для получения дальнейших обновлений, но был перенаправлен на сообщение в блоге.
Связано: 5 уязвимостей смарт-контрактов: как их выявить и устранить
В августе 2022 года компания привлекла 24 миллиона долларов в раунде финансирования серии A с Haun Ventures, Coinbase, Shopify и Polygon.
Компания Web3, которая предоставляет инструменты развертывания смарт-контрактов с несколькими цепочками для игр, майнинга, торговых площадок и кошельков, утверждает, что ее услугами ежемесячно пользуются более 70 000 разработчиков.
Журнал: Реальные примеры использования ИИ в криптографии: рынки ИИ на основе криптовалют и финансовый анализ ИИ