- Thirdweb priznala problémy zabezpečenia
- Firma upozorňuje na to, že táto chyba ešte nebola zneužitá
Spoločnosť Thirdweb zaoberajúca sa vývojom inteligentných zmlúv oznámila zraniteľnosť zabezpečenia vo svojom softvérovom produkte. Chyba môže potenciálne mať vplyv na rôzne inteligentné zmluvy v rámci ekosystému web 3.0. Ide o knižnicu s otvoreným zdrojovým kódom. To znamená, že tento problém sa môže ukázať ako podstatnejší, ako sa na prvý pohľad zdá.
Thirdweb priznala problémy zabezpečenia
Web 3.0 je vo všeobecnosti považovaný za budúcnosť. Súvisí s kryptomenami a mnohé sú postavené na jeho využívaní a rozvoji. Je to podstatná časť budúcnosti rozvoja kryptomien.
Binance ho definuje nasledovne: „Cieľom web 3.0 je poskytnúť kontrolu nad našimi online informáciami a zároveň vytvárať sémantický web. To znamená, že stroje budú ľahko čítať a spracovávať obsah, ktorý vytvárajú používatelia. Blockchain bude poskytovať silu pre decentralizáciu, bezplatné digitálne identity s kryptopeňaženkami a otvorené digitálne ekonomiky.” Spoločnosť Thirdweb je na špici vývoja oblasti spojenej s web 3.0.
Zistená chyba môže ovplyvniť konkrétne vopred vytvorené inteligentné zmluvy (tzv. smart kontrakty) vrátane niektorých vlastných. Vyšetrovanie spoločnosti Thirdweb však dospelo k záveru, že zraniteľnosť inteligentnej zmluvy ešte nebola zneužitá.
Thirdweb o tomto probléme otvorene komunikuje, čo považujeme za základ rýchleho vyriešenia problému. Informácie doslova zaplavili sociálne siete, pretože tento problém môže mať veľký rozsah.
Yesterday @thirdweb announced a potential vulnerability in most of their smart contracts
This impacts thousands of projects
In order to ensure maximum security for our community we had no other choice but permanently disable the @NetizensNFT smart contract
I’d rather have… pic.twitter.com/LvI0P9KpmX
— Lubo ⚡️ (@luboweb3) December 6, 2023
Zároveň je potrebné dodať, že firma upozorňuje na to, že táto chyba ešte nebola zneužitá. Spoločnosť proaktívne informovala o tomto bezpečnostnom probléme. Varovala používateľov, ktorí využívali jej zmluvy pred 22. novembrom, aby podnikli kroky k náprave tohto problému. K tejto náprave im zároveň poskytla aj nástroj vytvorený spoločnosťou.
Spoločnosť Thirdweb kontaktovala aj správcov knižnice s otvoreným zdrojovým kódom. Upozornila ich na dôvod zraniteľnosti a kontaktovala ďalšie tímy, ktorých sa problém potenciálne týkal. Týmto spôsobom si firma splnila svoje povinnosti z etického pohľadu.
Zároveň sa spoločnosť Thirdweb zaviazala zvýšiť investície do bezpečnostných opatrení a zdvojnásobila potenciálne vyplácanie odmien za chyby z 25 000 USD na 50 000 USD. Rovnako zvolila implementáciu prísnejšieho procesu auditu. Firma tiež ponúkla grant na pokrytie zníženia vplyvu chybnej zmluvy.
IMPORTANT
On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.
This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…
— thirdweb (@thirdweb) December 5, 2023
Úplné podrobnosti o zraniteľnosti neboli z bezpečnostných dôvodov zverejnené. Spoločnosť poskytuje nástroje na nasadenie inteligentných zmlúv s viacerými reťazcami pre gaming, mintovanie NFT (non fungible token), trhoviská a peňaženky. Podľa tvrdenia samotnej firmy jej služby mesačne využíva viac ako 70 000 vývojárov.
https://twitter.com/CryptoNFTAlerts/status/1732348874839527916
Zarábaj aj ty na raste kryptomien.
Začni ich nakupovať na Binance a získaj 100 dolárový vstupný bonus.
Možné ohrozenie
Potenciálne problémy sa môžu podľa samotnej spoločnosti týkať len niektorých zmlúv. Sú to: DropERC20, ERC721, ERC1155 (vo všetkých verziách) a AirdropERC20. Od záveru ich vyšetrovania však neboli hlásené žiadne zneužitia, čo ponúka rozhodujúce okno pre preventívne akcie na odvrátenie potenciálnych hackov.
Last week, the thirdweb engineers took part in 'hack week.'
Cancel all meetings → Ship stuff
5 days of focus to move the needle.
Here's everything we shipped, including:
🔎 Improved contract search
📃 New Typescript SDK Docs
🎨 Upgrades to our storage solution— thirdweb (@thirdweb) March 10, 2023
V súčasnosti je teda možné riziko definovať ako nízke. To však neznamená, že z daného problému nevznikne v budúcnosti väčší.
Predovšetkým to môže spôsobiť problémy samotnej spoločnosti Thirdweb. Pred rokom získala 24 miliónov dolárov od spoločností A s Haun Ventures, Coinbase, Shopify a Polygon. Predstavený projekt bol postavený aj na bezpečnosti. Práve tá je teraz ohrozená. Medzi podporovateľmi spoločnosti je aj známa tvár kryptomenového sveta – Marc Cuban.
Mohlo by vás zaujať: Nešťastník zaplatil za prevod Bitcoinu milióny. Išlo o chybu alebo hack?
