Thirdweb, фирма по разработке смарт-контрактов в экосистеме Web3, обнаружила уязвимость безопасности, которая потенциально затрагивает ряд смарт-контрактов в среде Web3.

Компания предлагает инструменты развертывания смарт-контрактов с несколькими цепочками для различных приложений, таких как игры, майнинг, торговые площадки и кошельки, с пользовательской базой, насчитывающей более 70 000 разработчиков.

Thirdweb раскрывает уязвимость безопасности

4 декабря Thirdweb раскрыла уязвимость X в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на определенные заранее созданные смарт-контракты, в том числе разработанные самой фирмой.

ВАЖНЫЙ

20 ноября 2023 года в 18:00 по тихоокеанскому времени нам стало известно об уязвимости безопасности в широко используемой библиотеке с открытым исходным кодом в индустрии Web3.

Это повлияет на различные смарт-контракты в экосистеме web3, включая некоторые заранее созданные смарт-контракты Thirdweb.…

– Thirdweb (@ Thirdweb) 5 декабря 2023 г.

Несмотря на обнаружение этой уязвимости, расследование Thirdweb показало, что никто не воспользовался уязвимостью смарт-контракта. Это дает компаниям Web3 ограниченную возможность принять превентивные меры и предотвратить потенциальное нарушение безопасности.

Thirdweb подчеркнул, что неспособность своевременно устранить уязвимость может привести к серьезным последствиям. Затронутые готовые контракты, включая, помимо прочего, DropERC20, ERC721, ERC1155 (все версии) и AirdropERC20, представляют собой риск, если их не исправить.

В ответ на это открытие Thirdweb выпустила упреждающее предупреждение для экосистемы Web3, призывая пользователей, развернувших ее контракты до 22 ноября, предпринять независимые шаги по смягчению последствий или использовать инструмент, предоставленный компанией.

Кроме того, Thirdweb посоветовала разработчикам помочь пользователям в отзыве одобрений всех затронутых контрактов с помощью revoke.cash, как это предложил разработчик DefiLlama «0xngmi» в ответ на запрос об отзыве одобрения. Эта мера призвана обеспечить дополнительную защиту для пользователей, которые могут решить не предпринимать меры по смягчению последствий контракта.

Thirdweb усиливает меры безопасности

В ответ на обнаруженную уязвимость в широко используемой библиотеке с открытым исходным кодом Thirdweb предприняла несколько превентивных шагов. Компания обратилась к сопровождающим библиотеки с открытым исходным кодом, ответственным за уязвимость, а также связалась с другими командами, которые могут быть затронуты этой проблемой.

Thirdweb взяла на себя обязательство увеличить свои инвестиции в безопасность и решила удвоить выплаты за обнаружение ошибок с 25 000 до 50 000 долларов США, чтобы усилить свои меры безопасности. Кроме того, компания внедряет более строгий процесс аудита для повышения общей безопасности своих инструментов развертывания смарт-контрактов.

Thirdweb также предложил грант для покрытия последствий контрактов для пострадавших пользователей. Однако из соображений безопасности платформа не раскрыла полную информацию об уязвимости.

Примечательно, что Thirdweb успешно привлекла 24 миллиона долларов в раунде финансирования серии A в августе 2022 года благодаря вкладам таких известных организаций, как Haun Ventures, Shopify, Coinbase и Polygon.

Источник