Công ty Web3 Thirdweb đã báo cáo một lỗ hổng bảo mật có khả năng ảnh hưởng đến hàng trăm hợp đồng thông minh được xây dựng trước bằng thư viện nguồn mở thường được sử dụng.
Công ty phát triển hợp đồng thông minh Thirdweb đã báo cáo một lỗ hổng bảo mật có khả năng “tác động đến nhiều loại hợp đồng thông minh trên hệ sinh thái Web3”.
Vào ngày 4 tháng 12, Thirdweb đã báo cáo một lỗ hổng trong thư viện nguồn mở thường được sử dụng có thể ảnh hưởng đến các hợp đồng thông minh được xây dựng sẵn cụ thể, bao gồm cả một số hợp đồng của chính nó. Tuy nhiên, các cuộc điều tra của Thirdweb kết luận rằng lỗ hổng hợp đồng thông minh vẫn chưa bị khai thác, tạo ra một cơ hội nhỏ cho các công ty Web3 tránh bị hack có thể xảy ra.
Làm nổi bật khả năng gây ra thiệt hại lớn của lỗ hổng nếu không được khắc phục ngay lập tức, Thirdweb tuyên bố :
“Các hợp đồng xây dựng trước bị ảnh hưởng bao gồm nhưng không giới hạn ở DropERC20, ERC721, ERC1155 (tất cả các phiên bản) và AirdropERC20.”
Sau cảnh báo chủ động đối với hệ sinh thái Web3, công ty đã cảnh báo những người dùng đã triển khai hợp đồng trước ngày 22 tháng 11 phải “thực hiện các bước giảm thiểu” một cách độc lập hoặc bằng cách sử dụng công cụ do công ty cung cấp.
QUAN TRỌNG
Vào lúc 6 giờ chiều giờ Thái Bình Dương ngày 20 tháng 11 năm 2023, chúng tôi đã phát hiện ra một lỗ hổng bảo mật trong thư viện nguồn mở thường được sử dụng trong ngành web3.
Điều này tác động đến nhiều hợp đồng thông minh khác nhau trên hệ sinh thái web3, bao gồm một số hợp đồng thông minh được xây dựng sẵn của Thirdweb.…
– web thứ ba (@thirdweb) Ngày 5 tháng 12 năm 2023
Thirdweb cũng khuyên các nhà phát triển nên giúp người dùng thu hồi phê duyệt đối với tất cả các hợp đồng bị ảnh hưởng bằng cách sử dụng revoke.cash, “điều này sẽ bảo vệ người dùng của bạn nếu bạn chọn không giảm nhẹ hợp đồng”, nhà phát triển DefiLlama “0xngmi” đã nhận xét về yêu cầu thu hồi phê duyệt.
Nhân tiện, điều này có vẻ quan trọng, họ đang yêu cầu thu hồi tất cả các phê duyệt đối với hợp đồng web thứ ba (bạn có thể đã tương tác với họ mà không biết vì họ được gắn nhãn trắng, đặc biệt nếu bạn làm những việc liên quan đến nfts) https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) Ngày 5 tháng 12 năm 2023
Thirdweb đã liên hệ với những người bảo trì thư viện nguồn mở để giải quyết tận gốc lỗ hổng và liên hệ với các nhóm khác có khả năng bị ảnh hưởng bởi sự cố này.
Nó cũng cam kết tăng cường đầu tư vào các biện pháp bảo mật và tăng gấp đôi số tiền thưởng cho lỗi từ 25.000 USD lên 50.000 USD trong khi thực hiện quy trình kiểm toán nghiêm ngặt hơn. Công ty cũng cung cấp một khoản tài trợ để trang trải các biện pháp giảm thiểu hợp đồng.
“Chúng tôi hiểu rằng điều này sẽ gây ra sự gián đoạn và chúng tôi đang xử lý việc giảm thiểu vấn đề một cách nghiêm túc nhất. Chúng tôi sẽ cung cấp một khoản trợ cấp khí đốt có hiệu lực hồi tố để trang trải phí cho việc giảm nhẹ hợp đồng.”
Chi tiết đầy đủ về lỗ hổng không được tiết lộ vì mục đích bảo mật và Cointelegraph đã liên hệ với Thirdweb để cập nhật thêm nhưng đã đượcchuyển hướng đến bài đăng trên blog.
Công ty đã huy động được 24 triệu USD trong vòng cấp vốn Series A với Haun Ventures, Coinbase, Shopify và Polygon vào tháng 8 năm 2022.
Công ty Web3 , nơi cung cấp các công cụ triển khai hợp đồng thông minh đa chuỗi để chơi game, đào tiền, thị trường và ví, tuyên bố có hơn 70.000 nhà phát triển sử dụng dịch vụ của mình hàng tháng.
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Coindesk