La société Web3 Thirdweb s’attaque aux vulnérabilités de sécurité dans les contrats intelligents courants
- Thirdweb découvre une vulnérabilité de sécurité dans les contrats intelligents courants
- La société propose des outils de déploiement pour plus de 70 000 développeurs
- Thirdweb révèle la vulnérabilité et conseille aux utilisateurs de prendre des mesures préventives
- Thirdweb améliore ses mesures de sécurité et offre une subvention pour couvrir les atténuations contractuelles
Thirdweb, une société de développement de contrats intelligents au sein de l’écosystème Web3, a découvert une vulnérabilité de sécurité qui affecte potentiellement une gamme de contrats intelligents dans le paysage Web3.
La société propose des outils de déploiement de contrats intelligents multichaînes pour diverses applications telles que les jeux, le monnayage, les marchés et les portefeuilles, avec une base d’utilisateurs de plus de 70 000 développeurs.
Thirdweb révèle une vulnérabilité de sécurité
Le 4 décembre, Thirdweb a révélé une vulnérabilité sur X dans une bibliothèque open source largement utilisée qui pourrait avoir un impact sur certains contrats intelligents prédéfinis, y compris certains développés par l’entreprise elle-même.
IMPORTANT
Le 20 novembre 2023 à 18 heures PST, nous avons pris conscience d’une vulnérabilité de sécurité dans une bibliothèque open source couramment utilisée dans l’industrie du web3.
Cela affecte une variété de contrats intelligents dans l’écosystème web3, y compris certains des contrats intelligents prédéfinis de Thirdweb.…
– tiersweb (@thirdweb) 5 décembre 2023
Malgré l’identification de cette vulnérabilité, les enquêtes de Thirdweb ont déterminé que personne n’a exploité la faille du contrat intelligent. Cela offre une fenêtre d’opportunité limitée aux entreprises Web3 pour prendre des mesures préventives et éviter une faille de sécurité potentielle.
Thirdweb a souligné que ne pas remédier rapidement à la vulnérabilité pourrait entraîner de graves conséquences. Les contrats pré-construits concernés, y compris, mais sans s’y limiter, DropERC20, ERC721, ERC1155 (toutes les versions) et AirdropERC20, présentent un risque s’ils ne sont pas corrigés.
En réponse à cette découverte, Thirdweb a émis un avertissement proactif à l’écosystème Web3, exhortant les utilisateurs ayant déployé ses contrats avant le 22 novembre à prendre des mesures d’atténuation indépendantes ou à utiliser un outil fourni par l’entreprise.
De plus, Thirdweb a conseillé aux développeurs d’aider les utilisateurs à révoquer les approbations sur tous les contrats concernés à l’aide de revoke.cash, comme suggéré par le développeur DefiLlama « 0xngmi » en réponse à la demande de révocation de l’approbation. La mesure visait à fournir une protection supplémentaire aux utilisateurs qui pourraient décider de ne pas mettre en œuvre de mesures d’atténuation contractuelles.
Thirdweb améliore les mesures de sécurité
En réponse à la vulnérabilité identifiée dans une bibliothèque open source couramment utilisée, Thirdweb a pris plusieurs mesures proactives. La société a contacté les responsables de la bibliothèque open source responsables de la vulnérabilité et a également contacté d’autres équipes susceptibles d’être affectées par le problème.
Thirdweb s’est engagé à augmenter ses investissements dans la sécurité et a décidé de doubler les primes de bogues, passant de 25 000 $ à 50 000 $ pour renforcer ses mesures de sécurité. De plus, la société met en œuvre un processus d’audit plus rigoureux pour améliorer la sécurité globale de ses outils de déploiement de contrats intelligents.
Thirdweb a en outre offert une subvention pour couvrir les atténuations contractuelles pour les utilisateurs concernés. Cependant, pour des raisons de sécurité, la plateforme n’a pas divulgué tous les détails de la vulnérabilité.
Notamment, Thirdweb a levé avec succès 24 millions de dollars lors d’un cycle de financement de série A en août 2022, avec des contributions d’entités notables telles que Haun Ventures, Shopify, Coinbase et Polygon.
OFFRE SPÉCIALE (Sponsorisée)
Binance Free 100 $ (Exclusif) : utilisez ce lien pour vous inscrire et recevoir 100 $ gratuits et 10 % de réduction sur les frais sur Binance Futures le premier mois (termes).