Об уязвимости безопасности, потенциально влияющей на сотни смарт-контрактов, которые были предварительно созданы с использованием широко используемой библиотеки с открытым исходным кодом, сообщила фирма Web3 Thirdweb.
Компания по разработке смарт-контрактов Thirdweb сообщила об уязвимости в системе безопасности, которая потенциально “влияет на множество смарт-контрактов в экосистеме Web3”.
4 декабря Thirdweb сообщила об уязвимости в широко используемой библиотеке с открытым исходным кодом, которая может повлиять на конкретные готовые смарт-контракты, включая некоторые из ее собственных. Однако расследования Thirdweb пришли к выводу, что уязвимость смарт-контракта еще не была использована, что дает фирмам Web3 небольшое окно возможностей избежать возможного взлома.
Подчеркнув, что уязвимость может нанести огромный ущерб, если ее не устранить немедленно, Thirdweb заявила:
“Затронутые готовые контракты включают, но не ограничиваются ими, DropERC20, ERC721, ERC1155 (все версии) и AirdropERC20”.
После упреждающего предупреждения экосистеме Web3 фирма предупредила пользователей, которые внедрили ее контракты до 22 ноября, “предпринять шаги по смягчению последствий” самостоятельно или с помощью инструмента, предоставленного компанией.
ВАЖНО
20 ноября 2023 года в 18:00 по тихоокеанскому времени нам стало известно об уязвимости безопасности в широко используемой библиотеке с открытым исходным кодом в индустрии web3.
Это влияет на множество смарт-контрактов в экосистеме web3, включая некоторые готовые смарт-контракты thirdweb.…
— thirdweb (@thirdweb) 5 декабря 2023 года
Thirdweb также посоветовала разработчикам помочь пользователям отозвать разрешения по всем затронутым контрактам с помощью revoke.cash, “который защитит ваших пользователей, если вы решите не смягчать условия контракта”, - прокомментировал запрос на отзыв разрешений разработчик DefiLlama ”0xngmi".
кстати, это кажется важным, они просят отозвать все разрешения на третьи веб-контракты (возможно, вы взаимодействовали с ними, не зная об этом, поскольку они помечены белым цветом, особенно если вы работаете с nft)https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) 5 декабря 2023 года
Thirdweb связалась с разработчиками библиотеки с открытым исходным кодом, в которой обнаружена уязвимость, и с другими командами, потенциально затронутыми проблемой.
Она также пообещала увеличить инвестиции в меры безопасности и удвоить выплаты за ошибки с 25 000 до 50 000 долларов при одновременном внедрении более строгого процесса аудита. Фирма также предложила грант на покрытие мер по смягчению последствий по контракту.
“Мы понимаем, что это приведет к сбоям, и мы относимся к устранению проблемы со всей серьезностью. Мы предложим ретроактивную газовую субсидию для покрытия сборов за смягчение условий контракта”.
Полная информация об уязвимости не была раскрыта в целях безопасности, и Cointelegraph связался с Thirdweb для получения дальнейших обновлений, но был перенаправлен на сообщение в блоге.
" 
