Empresa da Web3 detecta importante falha de segurança em contratos inteligentes pré-construídos
Uma vulnerabilidade de segurança que pode afetar centenas de contratos inteligentes que foram pré-construídos usando uma biblioteca de código aberto regularmente usada por desenvolvedores foi relatada pela empresa Thirdweb da Web3.
A empresa de desenvolvimento de contratos inteligentes Thirdweb relatou uma vulnerabilidade de segurança que potencialmente “afeta uma variedade de contratos inteligentes em todo o ecossistema da Web3.”
Em 4 de dezembro, a Thirdweb relatou uma vulnerabilidade em uma biblioteca de código aberto comumente usada por desenvolvedores do espaço que poderia afetar contratos inteligentes pré-construídos, incluindo alguns dos contratos da própria empresa. No entanto, as investigações da Thirdweb concluíram que a vulnerabilidade do contrato inteligente ainda não foi explorada, oferecendo uma pequena janela de oportunidade para que as empresas da Web3 evitem potenciais hacks.
Destacando que a vulnerabilidade pode causar danos enormes se não for corrigida imediatamente, a Thirdweb declarou:
“Os contratos pré-construídos afetados incluem, mas não se limitam a DropERC20, ERC721, ERC1155 (todas as versões) e AirdropERC20.”
Após o aviso proativo ao ecossistema Web3, a empresa alertou os usuários que implantaram seus contratos antes de 22 de novembro para “tomar medidas de mitigação” de forma independente ou usando uma ferramenta fornecida pela própria empresa.
"IMPORTANTE
Em 20 de novembro de 2023, às 18h PST, tomamos conhecimento de uma vulnerabilidade de segurança em uma biblioteca de código aberto comumente usada por desenvolvedores do espaço da web3.
Isso afeta uma variedade de contratos inteligentes de todo o ecossistema da web3, incluindo alguns dos contratos inteligentes pré-construídos da thirdweb…
— thirdweb @thirdweb"
A Thirdweb também aconselhou os desenvolvedores a ajudar os usuários a revogar as aprovações em todos os contratos afetados usando o comando revoke.cash, “que protegerá seus usuários se você optar por não mitigar o contrato”, comentou o desenvolvedor do DefiLlama, “0xngmi”, ao fazer comentários sobre a solicitação de revogação de aprovações.
"A propósito, isso parece importante, pois eles estão pedindo para revogar todas as aprovações de contratos de terceiros da Web (você pode ter interagido com eles sem saber, pois eles são de marca branca, especialmente se você faz coisas em torno de nfts)
— 0xngmi @0xngmi"
A Thirdweb entrou em contato com os responsáveis pela biblioteca de código aberto que está na raiz da vulnerabilidade e com outras equipes potencialmente afetadas pelo problema.
Ela também se comprometeu a aumentar o investimento em medidas de segurança e a dobrar os pagamentos de recompensas por bugs de US$ 25.000 para US$ 50.000, além de implementar um processo de auditoria mais rigoroso. A empresa também ofereceu um subsídio para cobrir as mitigações de contrato.
“Entendemos que isso causará transtornos e estamos tratando a mitigação do problema com a maior seriedade. Ofereceremos uma concessão retroativa de gás para cobrir as taxas de mitigação do contrato.”
Os detalhes completos da vulnerabilidade não foram divulgados por motivos de segurança. O Cointelegraph entrou em contato com a Thirdweb para obter mais atualizações, mas foi redirecionada para a publicação divulgada no blog da empresa.
A Thirdweb levantou US$ 24 milhões em uma rodada de financiamento de Série A que contou com a participação de Haun Ventures, Coinbase, Shopify e Polygon em agosto de 2022.
A empresa de Web3, que fornece ferramentas de implementação de contratos inteligentes multichain para jogos, cunhagem, marketplaces e carteiras, afirma ter mais de 70.000 desenvolvedores usando seus serviços mensalmente.
Fonte: CoinTelegraph (Empresa da Web3 detecta importante falha de segurança em contratos inteligentes pré-construídos)