Thirdweb, pionier w dziedzinie technologii Web3, właśnie ogłosił odkrycie poważnej luki w zabezpieczeniach, potencjalnie wpływającej na dziesiątki inteligentnych kontraktów zbudowanych przy użyciu popularnej biblioteki open source. To istotne odkrycie może mieć znaczące konsekwencje dla bezpieczeństwa ekosystemu kryptowalut.
4 grudnia firma Thirdweb ujawniła lukę w zabezpieczeniach powszechnie używanej biblioteki open source, potencjalnie wpływającą na konkretne, istniejące inteligentne kontrakty, w tym na niektóre stworzone przez samą firmę. Warto zauważyć, że w trakcie prowadzonego śledztwa przez Thirdweb stwierdzono, że luka w inteligentnych kontraktach jeszcze nie została wykorzystana, co daje firmom w ekosystemie Web3 ograniczone szanse na uniknięcie potencjalnych zagrożeń związanych z włamaniem.
Zwracając uwagę na istniejące ryzyko, które stwarza poważne zagrożenie, jeśli nie zostanie bezzwłocznie rozwiązane, Thirdweb podkreślił:
„Dotyczą one gotowych umów, ale nie są ograniczone do DropERC20, ERC721, ERC1155 (wszystkie wersje) i AirdropERC20”.
Po proaktywnym ostrzeżeniu skierowanym do ekosystemu Web3 firma przestrzegła użytkowników, którzy wdrożyli jej umowy przed 22 listopada, aby „podjęli samodzielnie kroki łagodzące” lub skorzystali z narzędzia dostarczonego przez firmę.
Thirdweb zaleca również programistom, aby pomogli użytkownikom w cofnięciu zatwierdzeń wszystkich umów, których to dotyczy, za pomocą pliku revoke.cash. Programiści powinni „ochronić swoich użytkowników, jeśli zdecydują się nie łagodzić warunków umowy” – skomentował prośbę o cofnięcie zatwierdzeń programista DefiLlama „0xngmi”.
Firma Thirdweb nawiązała kontakt z opiekunami biblioteki open source, która leży u źródła luki, a także z innymi zespołami, których problem może potencjalnie dotyczyć.
Zobowiązała się również do zwiększenia inwestycji w środki bezpieczeństwa i podwójnych nagród za błędy z 25 000 do 50 000 dolarów, przy jednoczesnym wdrożeniu bardziej rygorystycznego procesu audytu. Firma zaoferowała również dotację na pokrycie łagodzeń kontraktowych.
„Rozumiemy, że spowoduje to zakłócenia, dlatego podchodzimy do złagodzenia problemu z najwyższą powagą. Będziemy oferować z mocą wsteczną dotację na gaz w celu pokrycia opłat za złagodzenie kontraktu.”
Z powodu kwestii bezpieczeństwa nie ujawniono pełnych szczegółów luki. Cointelegraph skontaktował się z Thirdweb w celu uzyskania dalszych aktualizacji, ale został przekierowany do wpisu na blogu.