Das Smart-Contract-Entwicklungsunternehmen Thirdweb meldete eine Sicherheitslücke, die möglicherweise „eine Vielzahl von Smart Contracts im gesamten Web3-Ökosystem betrifft“.
Am 4. Dezember meldete Thirdweb eine Schwachstelle in einer häufig verwendeten Open-Source-Bibliothek, die sich auf bestimmte vorgefertigte Smart Contracts, darunter auch einige eigene, auswirken könnte. Die Untersuchungen von Thirdweb kamen jedoch zu dem Schluss, dass die Smart-Contract-Schwachstelle noch nicht ausgenutzt wurde, was Web3-Firmen ein kleines Zeitfenster bietet, um einen möglichen Hack zu vermeiden.
Thirdweb weist darauf hin, dass die Sicherheitslücke das Potenzial hat, massiven Schaden anzurichten, wenn sie nicht sofort behoben wird angegeben:
„Zu den betroffenen vorgefertigten Verträgen gehören unter anderem DropERC20, ERC721, ERC1155 (alle Versionen) und AirdropERC20.“
Nach der proaktiven Warnung an das Web3-Ökosystem warnte das Unternehmen Benutzer, die seine Verträge vor dem 22. November bereitgestellt hatten, „selbstständig oder mithilfe eines vom Unternehmen bereitgestellten Tools Abhilfemaßnahmen zu ergreifen“.
WICHTIG
Am 20. November 2023 um 18:00 Uhr PST wurden wir auf eine Sicherheitslücke in einer häufig verwendeten Open-Source-Bibliothek in der Web3-Branche aufmerksam.
Dies wirkt sich auf eine Vielzahl von Smart Contracts im gesamten Web3-Ökosystem aus, einschließlich einiger vorgefertigter Smart Contracts von Thirdweb.…
– Thirdweb (@thirdweb) 5. Dezember 2023
Thirdweb empfahl den Entwicklern außerdem, Benutzern dabei zu helfen, Genehmigungen für alle betroffenen Verträge mithilfe von revoke.cash zu widerrufen, „was Ihre Benutzer schützt, wenn Sie sich dafür entscheiden, den Vertrag nicht zu mildern“, kommentierte der DefiLlama-Entwickler „0xngmi“ die Anfrage zum Widerruf von Genehmigungen.
Übrigens scheint dies wichtig zu sein, sie fordern den Widerruf aller Genehmigungen für Dritt-Web-Verträge (Sie könnten mit ihnen interagiert haben, ohne es zu wissen, da sie weiß gekennzeichnet sind, insbesondere wenn Sie Dinge rund um NFTs tun) https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) 5. Dezember 2023
Thirdweb hat die Betreuer der Open-Source-Bibliothek, die die Schwachstelle verursacht, kontaktiert und andere Teams kontaktiert, die möglicherweise von dem Problem betroffen sind.
Es versprach außerdem, die Investitionen in Sicherheitsmaßnahmen und doppelte Bug-Bounty-Auszahlungen von 25.000 auf 50.000 US-Dollar zu erhöhen und gleichzeitig einen strengeren Prüfprozess einzuführen. Das Unternehmen bot außerdem einen Zuschuss zur Deckung von Vertragsminderungen an.
„Wir sind uns darüber im Klaren, dass dies zu Störungen führen wird, und nehmen die Behebung des Problems mit größter Ernsthaftigkeit in Angriff. Wir werden einen rückwirkenden Gaszuschuss anbieten, um die Gebühren für Vertragsminderungen zu decken.“
Vollständige Details der Schwachstelle wurden aus Sicherheitsgründen nicht bekannt gegeben und Cointelegraph kontaktierte Thirdweb für weitere Updates, wurde jedoch an Thirdweb weitergeleitet Blogeintrag.
Verwandt: 5 Schwachstellen bei Smart Contracts: Wie man sie erkennt und entschärft
Das Unternehmen sammelte im August 2022 in einer Finanzierungsrunde der Serie A mit Haun Ventures, Coinbase, Shopify und Polygon 24 Millionen US-Dollar.
Das Web3-Unternehmen, das Multi-Chain-Smart-Contract-Bereitstellungstools für Spiele, Minting, Marktplätze und Wallets bereitstellt, gibt an, dass jeden Monat mehr als 70.000 Entwickler seine Dienste nutzen.
Magazin: Echte KI-Anwendungsfälle in Krypto: Kryptobasierte KI-Märkte und KI-Finanzanalyse