La société Web3 détecte une faille de sécurité majeure dans les contrats intelligents courants


La société de développement de contrats intelligents Thirdweb a signalé une vulnérabilité de sécurité qui pourrait « avoir un impact sur une variété de contrats intelligents dans l’écosystème Web3 ».
Le 4 décembre, Thirdweb a signalé une vulnérabilité dans une bibliothèque open source couramment utilisée qui pourrait avoir un impact sur certains contrats intelligents prédéfinis, y compris certains des siens. Cependant, les enquêtes de Thirdweb ont conclu que la vulnérabilité du contrat intelligent n’a pas encore été exploitée, ce qui laisse une petite fenêtre d’opportunité aux entreprises Web3 pour éviter un éventuel piratage.
Soulignant le potentiel de la vulnérabilité à causer des dommages massifs si elle n’est pas corrigée immédiatement, Thirdweb a déclaré :

« Les contrats pré-construits concernés incluent, sans s’y limiter, DropERC20, ERC721, ERC1155 (toutes les versions) et AirdropERC20. »

Suite à l’avertissement proactif adressé à l’écosystème Web3, la société a averti les utilisateurs qui ont déployé ses contrats avant le 22 novembre de « prendre des mesures d’atténuation » de manière indépendante ou en utilisant un outil fourni par la société.

La société Web3 détecte une faille de sécurité majeure dans les contrats intelligents courants

IMPORTANT
Le 20 novembre 2023 à 18 heures PST, nous avons pris conscience d’une vulnérabilité de sécurité dans une bibliothèque open source couramment utilisée dans l’industrie du web3.
Cela affecte une variété de contrats intelligents dans l’écosystème web3, y compris certains des contrats intelligents prédéfinis de Thirdweb.…
– tiersweb (@thirdweb) 5 décembre 2023

Thirdweb a également conseillé aux développeurs d’aider les utilisateurs à révoquer les approbations de tous les contrats concernés à l’aide de revoke.cash, « ce qui protégera vos utilisateurs si vous choisissez de ne pas atténuer le contrat ». Le développeur de Defillama « 0xngmi » a commenté la demande de révocation des approbations.

d’ailleurs, cela semble important, ils demandent de révoquer toutes les approbations des contrats Web tiers (vous avez peut-être interagi avec eux sans le savoir car ils sont en marque blanche, surtout si vous faites des choses autour de NFT) https://t.co/T1YU9xnIRb
– 0xngmi (@0xngmi) 5 décembre 2023

Thirdweb a contacté les responsables de la bibliothèque open source à l’origine de la vulnérabilité ainsi que d’autres équipes potentiellement impactées par le problème.
Il s’est également engagé à augmenter les investissements dans les mesures de sécurité et à doubler les primes de bug de 25 000 $ à 50 000 $, tout en mettant en œuvre un processus d’audit plus rigoureux. L’entreprise a également offert une subvention pour couvrir les atténuations contractuelles.

« Nous comprenons que cela entraînera des perturbations et nous traitons l’atténuation de ce problème avec le plus grand sérieux. Nous offrirons une subvention rétroactive pour le gaz pour couvrir les frais liés aux atténuations contractuelles.

Tous les détails de la vulnérabilité n’ont pas été divulgués pour des raisons de sécurité et Cointelegraph a contacté Thirdweb pour des mises à jour supplémentaires, mais a été redirigé vers le blog.
En rapport: 5 vulnérabilités des contrats intelligents : comment les identifier et les atténuer
La société a levé 24 millions de dollars lors d’un cycle de financement de série A avec Haun Ventures, Coinbase, Shopify et Polygon en août 2022.
La société Web3, qui fournit des outils de déploiement de contrats intelligents multi-chaînes pour les jeux, la monnaie, les marchés et les portefeuilles, affirme que plus de 70 000 développeurs utilisent ses services chaque mois.
Magazine : Cas d’utilisation réels de l’IA en crypto : marchés de l’IA basés sur la cryptographie et analyse financière de l’IA