Thirdweb, um fornecedor de kit de desenvolvimento de software (SDK) Web3, confirmou a presença de uma vulnerabilidade de segurança em uma biblioteca de código aberto amplamente usada, impactando vários contratos inteligentes Web3, de acordo com um relatório de 4 de dezembro. declaração na plataforma de mídia social X (antigo Twitter).
A empresa afirmou que a vulnerabilidade foi inicialmente identificada em 20 de novembro e impactou uma variedade de contratos inteligentes em todo o ecossistema web3, incluindo alguns de seus contratos inteligentes pré-construídos.
No entanto, esclareceu que a vulnerabilidade ainda não foi explorada e absteve-se de divulgar a biblioteca de código aberto para evitar uma potencial exploração. A empresa escreveu:
“Com base em nossa investigação até agora, esta vulnerabilidade não foi explorada em nenhum contrato inteligente da ThirdWeb. No entanto, os proprietários de contratos inteligentes devem tomar medidas de mitigação em certos contratos inteligentes pré-construídos que foram criados na terceira web antes de 22 de novembro de 2023 às 19h (horário do Pacífico).
Contratos inteligentes afetados
Thirdweb identificou 13 contratos inteligentes afetados, incluindo AirdropERC20, ERC721ERC1155 e outros, afetados pela vulnerabilidade.
Os proprietários de contratos inteligentes são aconselhados a tomar medidas proativas de mitigação para evitar a exploração. Além disso, a Thirdweb garantiu esforços contínuos com parceiros de segurança para desenvolver ferramentas para fácil identificação e execução das medidas de mitigação necessárias.
Dependendo da natureza do contrato, estas etapas podem envolver o bloqueio do contrato, a criação de instantâneos e a migração para um novo contrato. Além disso, os usuários desses contratos são incentivados a revogar as aprovações de todos os contratos da Thirdweb.
A Thirdweb também está aumentando as recompensas por sua plataforma para US$ 50.000 e está implementando um processo de auditoria mais rigoroso.
Enquanto isso, 0xngmi, tele pseudônimo desenvolvedor de DeFillama, instou a comunidade a revogar suas aprovações para contratos de terceiros porque as pessoas podem ter interagido com eles sem saber, pois são de marca branca.
Projetos NFT respondem
Vários projetos NFT, incluindo Mar abertoresponderam às preocupações levantadas pela vulnerabilidade.
OpenSea confirmou discussões com Thirdweb sobre questões de segurança em coleções NFT específicas. A plataforma NFT sugeriu suporte futuro para proprietários de coleções afetados e antecipou mudanças relacionadas à migração de contratos em sua plataforma.
Algumas coleções NFT como CoolCats e ApesRare têm tranquilizado seus titulares não são afetados por essas vulnerabilidades.
No entanto, a abordagem de divulgação da Thirdweb recebeu crítica dentro da comunidade.
