A empresa de desenvolvimento de contratos inteligentes, Thirdweb, relatou uma vulnerabilidade de segurança que potencialmente afeta uma variedade de contratos inteligentes em todo o ecossistema Web3.
A Thirdweb relatou uma vulnerabilidade em uma biblioteca de código aberto comumente usada que poderia impactar contratos inteligentes pré-construídos específicos, incluindo alguns de sua própria autoria. No entanto, as investigações da empresa concluíram que a vulnerabilidade do contrato inteligente ainda não foi explorada, permitindo uma pequena janela de oportunidade para as empresas Web3 evitarem um possível hack.
Destacando o potencial da vulnerabilidade de causar danos massivos se não for corrigida imediatamente, Thirdweb declarou:
“Os contratos pré-construídos afetados incluem, mas não estão limitados a DropERC20, ERC721, ERC1155 (todas as versões) e AirdropERC20.”
Após o aviso proativo ao ecossistema Web3, a empresa alertou os usuários que implantaram seus contratos antes de 22 de novembro a tomar medidas de mitigação de forma independente ou usando uma ferramenta fornecida pela empresa.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Thirdweb também aconselhou os desenvolvedores a ajudar os usuários a revogar as aprovações em todos os contratos afetados usando revoke.cash, o que protegerá os usuários se optar por não mitigar o contrato.
btw this seems important, theyre asking to revoke all approvals to third web contracts (you might have interacted with them without knowing as theyre white-labelled, especially if you do stuff around nfts) https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) December 5, 2023
A Thirdweb entrou em contato com os mantenedores da biblioteca de código aberto que está na raiz da vulnerabilidade e contatou outras equipes potencialmente afetadas pelo problema.
Também se comprometeu a aumentar o investimento em medidas de segurança e a duplicar os pagamentos de recompensas por bugs, de 25.000 para 50.000 dólares, ao mesmo tempo que implementava um processo de auditoria mais rigoroso. A empresa também ofereceu uma doação para cobrir mitigações contratuais.
“Entendemos que isso causará transtornos e estamos tratando a mitigação do problema com a maior seriedade. Ofereceremos uma concessão retroativa de gás para cobrir taxas de mitigação de contrato.”
Detalhes completos da vulnerabilidade não foram divulgados por motivos de segurança.
A empresa levantou US$24 milhões em uma rodada de financiamento Série A com Haun Ventures, Coinbase, Shopify e Polygon em agosto de 2022. A empresa Web3, que fornece ferramentas de implantação de contratos inteligentes multichain para jogos, cunhagem, mercados e carteiras, afirma ter mais de 70.000 desenvolvedores usando seus serviços mensalmente.