Web3 公司 Thirdweb 报告了一个安全漏洞,该漏洞可能影响数百个使用常用开源库预先构建的智能合约。
智能合约开发公司Thirdweb报告了一个安全漏洞,该漏洞可能 “影响Web3生态系统中的各种智能合约”。
12 月 4 日,Thirdweb 报告了一个常用开源库中的漏洞,该漏洞可能会影响特定的预构建智能合约,包括其自身的一些合约。不过,Thirdweb 的调查结论是,目前该智能合约漏洞尚未被利用,这为 Web3 公司避免可能的黑客攻击留出了一小片机会之窗。
但Thirdweb 强调指出,如果不立即纠正,该漏洞有可能造成巨大损失:
“受影响的预建合约包括但不限于 DropERC20、ERC721、ERC1155(所有版本)和 AirdropERC20。”
在向 Web3 生态系统发出主动警告后,该公司提醒在 11 月 22 日之前部署其合约的独立用户或使用该公司提供的工具需要 “采取缓解措施”。
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Thirdweb还建议开发者使用revoke.cash帮助用户撤销对所有受影响合约的批准,”如果你选择不减免合约,这将会保护用户,”DefiLlama开发者 “0xngmi “对撤销批准的请求发表了评论。
btw this seems important, theyre asking to revoke all approvals to third web contracts (you might have interacted with them without knowing as theyre white-labelled, especially if you do stuff around nfts) https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) December 5, 2023
Thirdweb 已经联系了漏洞根源开源库的维护者,并联系了可能受该问题影响的其他团队。
该公司还承诺增加对安全措施的投资,并将漏洞悬赏奖金从 2.5 万美元翻倍至 5 万美元,同时实施更严格的审计流程。该公司还提供了一笔资金,用于支付减免合约费用。
“我们理解这将带来巨大影响,所以我们将以最严肃的态度来缓解问题。我们将提供追溯气体补助,以支付减免合约等防范措施的费用。
出于安全考虑,该漏洞的全部细节并未披露,Cointelegraph 联系 Thirdweb 以获取进一步更新,但对方要求我们参考这篇博文。
在2022 年 8 月,Thirdweb与 Haun Ventures、Coinbase、Shopify 和 Polygon 在 A 轮融资中筹集了 2400 万美元。
这家 Web3 公司为游戏、铸币、市场和钱包提供多链智能合约部署工具,声称每月有超过 7 万名开发者使用其服务。
