Thirdweb, una società di sviluppo di contratti intelligenti all'interno dell'ecosistema Web3, ha scoperto una vulnerabilità di sicurezza che potenzialmente colpisce una serie di contratti intelligenti nel panorama Web3.
L'azienda offre strumenti di implementazione di contratti intelligenti multicatena per varie applicazioni come giochi, conio, mercati e portafogli, con una base utenti di oltre 70.000 sviluppatori.
Thirdweb rivela una vulnerabilità della sicurezza
Il 4 dicembre, Thirdweb ha rivelato una vulnerabilità su X in una libreria open source ampiamente utilizzata che potrebbe avere un impatto su specifici contratti intelligenti precostruiti, inclusi alcuni sviluppati dall'azienda stessa.
IMPORTANTE
Il 20 novembre 2023, alle 18:00 PST, siamo venuti a conoscenza di una vulnerabilità di sicurezza in una libreria open source comunemente utilizzata nel settore web3.
Ciò ha un impatto su una varietà di contratti intelligenti nell'ecosistema web3, inclusi alcuni contratti intelligenti predefiniti di Thirdweb….
– Thirdweb (@thhirdweb) 5 dicembre 2023
Nonostante l'identificazione di questa vulnerabilità, le indagini di Thirdweb hanno stabilito che nessuno ha sfruttato il difetto dello smart contract. Ciò offre una finestra di opportunità limitata alle aziende Web3 per adottare misure preventive ed evitare una potenziale violazione della sicurezza.
Thirdweb ha sottolineato che non affrontare tempestivamente la vulnerabilità potrebbe portare a gravi conseguenze. I contratti precostruiti interessati, inclusi ma non limitati a DropERC20, ERC721 , ERC1155 (tutte le versioni) e AirdropERC20, rappresentano un rischio se non corretti.
In risposta a questa scoperta, Thirdweb ha emesso un avviso proattivo all’ecosistema Web3, esortando gli utenti che hanno implementato i suoi contratti prima del 22 novembre ad adottare misure di mitigazione indipendenti o a utilizzare uno strumento fornito dall’azienda.
Inoltre, Thirdweb ha consigliato agli sviluppatori di assistere gli utenti nella revoca delle approvazioni su tutti i contratti interessati utilizzando revoke.cash, come suggerito dallo sviluppatore di DefiLlama "0xngmi" in risposta alla richiesta di revoca dell'approvazione. La misura mirava a fornire una protezione aggiuntiva agli utenti che potrebbero decidere di non implementare misure di mitigazione del contratto.
Thirdweb potenzia le misure di sicurezza
In risposta alla vulnerabilità identificata in una libreria open source di uso comune, Thirdweb ha adottato diverse misure proattive. L'azienda ha contattato i manutentori della libreria open source responsabili della vulnerabilità e ha anche contattato altri team che potrebbero essere interessati dal problema.
Thirdweb si è impegnata ad aumentare i propri investimenti nella sicurezza e ha deciso di raddoppiare i pagamenti delle bug bounty da $ 25.000 a $ 50.000 per rafforzare le sue misure di sicurezza. Inoltre, la società sta implementando un processo di controllo più rigoroso per migliorare la sicurezza complessiva dei suoi strumenti di implementazione dei contratti intelligenti.
Thirdweb ha inoltre offerto una sovvenzione per coprire le attenuanti contrattuali per gli utenti interessati. Tuttavia, per motivi di sicurezza, la piattaforma non ha divulgato tutti i dettagli della vulnerabilità.
In particolare, Thirdweb ha raccolto con successo 24 milioni di dollari in un round di finanziamento di serie A nell'agosto 2022, con contributi di entità importanti come Haun Ventures, Shopify, Coinbase e Polygon.
Il post La società Web3 Thirdweb affronta la vulnerabilità della sicurezza nei contratti intelligenti comuni è apparso per la prima volta su CryptoPotato .