La empresa de desarrollo de contratos inteligentes Thirdweb informó que una vulnerabilidad de seguridad potencialmente puede "afectar a una variedad de contratos inteligentes en todo el ecosistema Web3".
El 4 de diciembre, Thirdweb informó que una vulnerabilidad en una biblioteca de código abierto de uso común podría afectar a contratos inteligentes específicos preconstruidos, incluidos algunos de los suyos. Sin embargo, las investigaciones de Thirdweb concluyeron que la vulnerabilidad del contrato inteligente aún no ha sido explotada, lo que permite una pequeña ventana de oportunidad para que las empresas de Web3 eviten un posible hackeo.
Al destacar el potencial de la vulnerabilidad para causar daños masivos si no se rectifica inmediatamente, Thirdweb declaró:
“Los contratos preconstruidos afectados incluyen, entre otros, DropERC20, ERC721, ERC1155 (todas las versiones) y AirdropERC20.”
Tras la advertencia proactiva al ecosistema de Web3, la firma advirtió a los usuarios que desplegaron sus contratos antes del 22 de noviembre que "tomaran medidas de mitigación" de forma independiente o utilizando una herramienta proporcionada por la compañía.
IMPORTANT
— thirdweb (@thirdweb) December 5, 2023
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
IMPORTANTE: El 20 de noviembre de 2023 6pm PST, nos dimos cuenta de una vulnerabilidad de seguridad en una biblioteca de código abierto de uso común en la industria de web3. Esto afecta a una variedad de contratos inteligentes en todo el ecosistema web3, incluyendo algunos de los contratos inteligentes preconstruidos de thirdweb...
Thirdweb también aconsejó a los desarrolladores ayudar a los usuarios a revocar las aprobaciones en todos los contratos afectados utilizando revoke.cash, "que protegerá a sus usuarios si decide no mitigar el contrato", comentó el desarrollador de DefiLlama "0xngmi" sobre la solicitud de revocación de aprobaciones.
btw this seems important, theyre asking to revoke all approvals to third web contracts (you might have interacted with them without knowing as theyre white-labelled, especially if you do stuff around nfts) https://t.co/T1YU9xnIRb
— 0xngmi (@0xngmi) December 5, 2023
Por cierto, esto parece importante: están pidiendo que se revoquen todas las aprobaciones a contratos web de terceros (puede que hayas interactuado con ellos sin saberlo ya que son de marca blanca, especialmente si haces cosas relacionadascon nft) https://t.co/T1YU9xnIRb
Thirdweb se ha puesto en contacto con los responsables de la biblioteca de código abierto causante de la vulnerabilidad y con otros equipos a los que el problema potencialmente ha afectado.
También se ha comprometido a aumentar la inversión en medidas de seguridad y a duplicar las recompensas por fallos de USD 25,000 a 50,000, así como a aplicar un proceso de auditoría más riguroso. La empresa también ofreció una subvención para cubrir las mitigaciones contractuales.
“Entendemos que esto causará trastornos, y estamos tratando la mitigación del problema con la máxima seriedad. Ofreceremos una subvención retroactiva de gas para cubrir los gastos de mitigación del contrato.”
Los detalles completos de la vulnerabilidad no se revelaron por motivos de seguridad, y Cointelegraph se puso en contacto con Thirdweb para obtener más actualizaciones, pero fue redirigido a la publicación del blog.
La firma recaudó USD 24 millones en una ronda de financiación de Serie A con Haun Ventures, Coinbase, Shopify y Polygon en agosto de 2022.
La compañía de Web3, que proporciona herramientas de implementación de contratos inteligentes multi-chain para juegos, acuñación, mercados y monederos, afirma que más de 70,000 desarrolladores utilizan sus servicios mensualmente.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión