Pozor na populárny web 3.0. Našli chybu v zabezpečení, hrozí hack celého ekosystému

  • Thirdweb priznala problémy zabezpečenia
  • Firma upozorňuje na to, že táto chyba ešte nebola zneužitá
Off topic Spoločnosť Thirdweb upozornila na bezpečnostné riziko v smart kontraktoch
Spoločnosť Thirdweb upozornila na bezpečnostné riziko v smart kontraktoch. Zdroj: shutterstock.com/Olivier Le Moal
Ťažba kryptomien Ťažba kryptomien

Spoločnosť Thirdweb zaoberajúca sa vývojom inteligentných zmlúv oznámila zraniteľnosť zabezpečenia vo svojom softvérovom produkte. Chyba môže potenciálne mať vplyv na rôzne inteligentné zmluvy v rámci ekosystému web 3.0. Ide o knižnicu s otvoreným zdrojovým kódom. To znamená, že tento problém sa môže ukázať ako podstatnejší, ako sa na prvý pohľad zdá.

Thirdweb priznala problémy zabezpečenia

Web 3.0 je vo všeobecnosti považovaný za budúcnosť. Súvisí s kryptomenami a mnohé sú postavené na jeho využívaní a rozvoji. Je to podstatná časť budúcnosti rozvoja kryptomien.

Binance ho definuje nasledovne: „Cieľom web 3.0 je poskytnúť kontrolu nad našimi online informáciami a zároveň vytvárať sémantický web. To znamená, že stroje budú ľahko čítať a spracovávať obsah, ktorý vytvárajú používatelia. Blockchain bude poskytovať silu pre decentralizáciu, bezplatné digitálne identity s kryptopeňaženkami a otvorené digitálne ekonomiky.” Spoločnosť Thirdweb je na špici vývoja oblasti spojenej s web 3.0.

Zistená chyba môže ovplyvniť konkrétne vopred vytvorené inteligentné zmluvy (tzv. smart kontrakty) vrátane niektorých vlastných. Vyšetrovanie spoločnosti Thirdweb však dospelo k záveru, že zraniteľnosť inteligentnej zmluvy ešte nebola zneužitá.

Thirdweb o tomto probléme otvorene komunikuje, čo považujeme za základ rýchleho vyriešenia problému. Informácie doslova zaplavili sociálne siete, pretože tento problém môže mať veľký rozsah.

Zároveň je potrebné dodať, že firma upozorňuje na to, že táto chyba ešte nebola zneužitá. Spoločnosť proaktívne informovala o tomto bezpečnostnom probléme. Varovala používateľov, ktorí využívali jej zmluvy pred 22. novembrom, aby podnikli kroky k náprave tohto problému. K tejto náprave im zároveň poskytla aj nástroj vytvorený spoločnosťou.

Spoločnosť Thirdweb kontaktovala aj správcov knižnice s otvoreným zdrojovým kódom. Upozornila ich na dôvod zraniteľnosti a kontaktovala ďalšie tímy, ktorých sa problém potenciálne týkal. Týmto spôsobom si firma splnila svoje povinnosti z etického pohľadu.

Zároveň sa spoločnosť Thirdweb zaviazala zvýšiť investície do bezpečnostných opatrení a zdvojnásobila potenciálne vyplácanie odmien za chyby z 25 000 USD na 50 000 USD. Rovnako zvolila implementáciu prísnejšieho procesu auditu. Firma tiež ponúkla grant na pokrytie zníženia vplyvu chybnej zmluvy.

Úplné podrobnosti o zraniteľnosti neboli z bezpečnostných dôvodov zverejnené. Spoločnosť poskytuje nástroje na nasadenie inteligentných zmlúv s viacerými reťazcami pre gaming, mintovanie NFT (non fungible token), trhoviská a peňaženky. Podľa tvrdenia samotnej firmy jej služby mesačne využíva viac ako 70 000 vývojárov.

97%

Nakupuj a obchoduj kryptomeny na Binance.

Najlepšej a najlacnejšej burze na svete.

Sponzorovaný obsah

Možné ohrozenie

Potenciálne problémy sa môžu podľa samotnej spoločnosti týkať len niektorých zmlúv. to: DropERC20, ERC721, ERC1155 (vo všetkých verziách) a AirdropERC20. Od záveru ich vyšetrovania však neboli hlásené žiadne zneužitia, čo ponúka rozhodujúce okno pre preventívne akcie na odvrátenie potenciálnych hackov.

V súčasnosti je teda možné riziko definovať ako nízke. To však neznamená, že z daného problému nevznikne v budúcnosti väčší.

Predovšetkým to môže spôsobiť problémy samotnej spoločnosti Thirdweb. Pred rokom získala 24 miliónov dolárov od spoločností A s Haun Ventures, Coinbase, Shopify a Polygon. Predstavený projekt bol postavený aj na bezpečnosti. Práve tá je teraz ohrozená. Medzi podporovateľmi spoločnosti je aj známa tvár kryptomenového sveta – Marc Cuban.

Mohlo by vás zaujať: Nešťastník zaplatil za prevod Bitcoinu milióny. Išlo o chybu alebo hack?

Autor:
Marek Rodák
Marek Rodák

Vyštudoval filozofiu a históriu. Počas svojho profesionálneho života skúsil viacero pozícií, od marketingu, cez učiteľa, asistenta až po zastupujúceho riaditeľa školy. Vo voľnom čase sa venuje kryptomenám. Píše od roku 2011.