A empresa de desenvolvimento de contratos inteligentes Thirdweb relatou uma vulnerabilidade de segurança que potencialmente “afeta uma variedade de contratos inteligentes em todo o ecossistema Web3”.
Em 4 de dezembro, a Thirdweb relatou uma vulnerabilidade em uma biblioteca de código aberto comumente usada que poderia impactar contratos inteligentes pré-construídos específicos, incluindo alguns de sua própria autoria. No entanto, as investigações da Thirdweb concluíram que a vulnerabilidade do contrato inteligente ainda não foi explorada, permitindo uma pequena janela de oportunidade para as empresas Web3 evitarem um possível hack.
Destacando o potencial da vulnerabilidade de causar danos massivos se não for corrigida imediatamente, Thirdweb declarou:
“Os contratos pré-construídos afetados incluem, mas não estão limitados a DropERC20, ERC721, ERC1155 (todas as versões) e AirdropERC20.”
Após o aviso proativo ao ecossistema Web3, a empresa alertou os usuários que implantaram seus contratos antes de 22 de novembro a “tomar medidas de mitigação” de forma independente ou usando uma ferramenta fornecida pela empresa.
IMPORTANTE
Em 20 de novembro de 2023, às 18h PST, tomamos conhecimento de uma vulnerabilidade de segurança em uma biblioteca de código aberto comumente usada na indústria web3.
Isso impacta uma variedade de contratos inteligentes em todo o ecossistema web3, incluindo alguns dos contratos inteligentes pré-construídos da thirdweb.…
-thirdweb (@thirdweb) 5 de dezembro de 2023
Thirdweb também aconselhou os desenvolvedores a ajudar os usuários a revogar as aprovações em todos os contratos afetados usando revoke.cash, “o que protegerá seus usuários se você optar por não mitigar o contrato”, comentou o desenvolvedor do DefiLlama “0xngmi” sobre a solicitação para revogar as aprovações.
aliás, isso parece importante, eles estão pedindo para revogar todas as aprovações para contratos da web de terceiros (você pode ter interagido com eles sem saber, pois eles têm etiqueta branca, especialmente se você faz coisas relacionadas a nfts) https://t.co/T1YU9xnIRb
-0xngmi (@0xngmi) 5 de dezembro de 2023
A Thirdweb entrou em contato com os mantenedores da biblioteca de código aberto que está na raiz da vulnerabilidade e contatou outras equipes potencialmente afetadas pelo problema.
Também se comprometeu a aumentar o investimento em medidas de segurança e a duplicar os pagamentos de recompensas por bugs, de 25.000 para 50.000 dólares, ao mesmo tempo que implementava um processo de auditoria mais rigoroso. A empresa também ofereceu uma doação para cobrir mitigações contratuais.
“Entendemos que isso causará transtornos e estamos tratando a mitigação do problema com a maior seriedade. Ofereceremos uma concessão retroativa de gás para cobrir taxas de mitigação de contrato.”
Detalhes completos da vulnerabilidade não foram divulgados por motivos de segurança, e o Cointelegraph contatou a Thirdweb para obter mais atualizações, mas foi redirecionado para a postagem do blog.
Relacionado: 5 vulnerabilidades de contratos inteligentes: como identificá-las e mitigá-las
A empresa levantou US$ 24 milhões em uma rodada de financiamento Série A com Haun Ventures, Coinbase, Shopify e Polygon em agosto de 2022.
A empresa Web3, que fornece ferramentas de implantação de contratos inteligentes multichain para jogos, cunhagem, mercados e carteiras, afirma ter mais de 70.000 desenvolvedores usando seus serviços mensalmente.
Revista: Casos reais de uso de IA em criptografia: mercados de IA baseados em criptografia e análise financeira de IA
