La société Web3 Thirdweb s'attaque aux vulnérabilités de sécurité dans les contrats intelligents courants
Thirdweb, une société de développement de contrats intelligents au sein de l'écosystème Web3, a découvert une vulnérabilité de sécurité qui affecte potentiellement une gamme de contrats intelligents dans le paysage Web3.
La société propose des outils de déploiement de contrats intelligents multichaînes pour diverses applications telles que les jeux, le monnayage, les marchés et les portefeuilles, avec une base d'utilisateurs de plus de 70 000 développeurs.
Thirdweb révèle une vulnérabilité de sécurité
Le 4 décembre, Thirdweb a révélé une vulnérabilité sur X dans une bibliothèque open source largement utilisée qui pourrait avoir un impact sur certains contrats intelligents prédéfinis, y compris certains développés par l'entreprise elle-même.
IMPORTANT
Cela affecte une variété de contrats intelligents dans l'écosystème web3, y compris certains des contrats intelligents prédéfinis de Thirdweb.…
Malgré l'identification de cette vulnérabilité, les enquêtes de Thirdweb ont déterminé que personne n'a exploité la faille du contrat intelligent. Cela offre une fenêtre d'opportunité limitée aux entreprises Web3 pour prendre des mesures préventives et éviter une faille de sécurité potentielle.
Thirdweb a souligné que ne pas remédier rapidement à la vulnérabilité pourrait entraîner de graves conséquences. Les contrats pré-construits concernés, y compris, mais sans s'y limiter, DropERC20, ERC721, ERC1155 (toutes les versions) et AirdropERC20, présentent un risque s'ils ne sont pas corrigés.
En réponse à cette découverte, Thirdweb a émis un avertissement proactif à l'écosystème Web3, exhortant les utilisateurs ayant déployé ses contrats avant le 22 novembre à prendre des mesures d'atténuation indépendantes ou à utiliser un outil fourni par l'entreprise.
De plus, Thirdweb a conseillé aux développeurs d'aider les utilisateurs à révoquer les approbations sur tous les contrats concernés à l'aide de revoke.cash, comme suggéré par le développeur DefiLlama « 0xngmi » en réponse à la demande de révocation de l'approbation. La mesure visait à fournir une protection supplémentaire aux utilisateurs qui pourraient décider de ne pas mettre en œuvre de mesures d'atténuation contractuelles.
Thirdweb améliore les mesures de sécurité
Thirdweb s'est engagé à augmenter ses investissements dans la sécurité et a décidé de doubler les primes de bogues, passant de 25 000 $ à 50 000 $ pour renforcer ses mesures de sécurité. De plus, la société met en œuvre un processus d'audit plus rigoureux pour améliorer la sécurité globale de ses outils de déploiement de contrats intelligents.
Thirdweb a en outre offert une subvention pour couvrir les atténuations contractuelles pour les utilisateurs concernés. Cependant, pour des raisons de sécurité, la plateforme n'a pas divulgué tous les détails de la vulnérabilité.
Notamment, Thirdweb a levé avec succès 24 millions de dollars lors d'un cycle de financement de série A en août 2022, avec des contributions d'entités notables telles que Haun Ventures, Shopify, Coinbase et Polygon.
