این پلتفرم وجود یک آسیبپذیری امنیتی رو در یک کتابخانه منبع باز بدون نام که به طور گسترده مورد استفاده قرار میگیره، تایید کرد.
بر اساس بیانیه 4 دسامبر در پلتفرم رسانه اجتماعی X (توئیتر سابق) Thirdweb، ارائهدهنده کیت توسعه نرم افزار وب 3 (SDK) و توسعه دهنده Web3، وجود یک آسیبپذیری امنیتی در یک کتابخانه متنباز پرکاربرد رو تأیید کرد که بر قراردادهای هوشمند Web3 تأثیر میگذاره.
این شرکت اظهار داشت که این آسیبپذیری ابتدا در 20 نوامبر شناسایی شد و بر انواع قراردادهای هوشمند در سراسر اکوسیستم Web3، از جمله بعضی از قراردادهای هوشمند از پیش ساختهشده، تأثیر گذاشت.
با این حال، روشن شد که این آسیب پذیری هنوز مورد سوء استفاده قرار نگرفته و از افشای کتابخانه منبع باز برای جلوگیری از بهره برداری احتمالی خودداری میشه. این شرکت نوشت:
“بر اساس تحقیقات ما تاکنون، این آسیبپذیری در هیچ قرارداد هوشمند وب سوم مورد سوء استفاده قرار نگرفته است. با این حال، صاحبان قراردادهای هوشمند باید اقدامات کاهشی را در مورد برخی از قرارداد های هوشمند Web3 از پیش ساخته شده که قبل از 22 نوامبر 2023 در ساعت 19 PT در وب سوم ایجاد شده اند، انجام دهند.”
توسعه دهنده Web3 قراردادهای هوشمند را تحت تأثیر قرار داده است
Thirdweb توانست 13 قرارداد هوشمند آسیبدیده، از جمله AirdroPERC20، ERC721، ERC1155 و دیگران رو شناسایی کند که تحت تأثیر این آسیبپذیری قرار گرفتن.
به صاحبان قراردادهای هوشمند توصیه میشه برای جلوگیری از بهرهبرداری، اقدامات کاهشی پیشگیرانه رو انجام بدن. علاوه بر این، Thirdweb به تلاشهای مداوم با شرکای امنیتی برای توسعه ابزارهایی برای شناسایی آسان و اجرای اقدامات کاهشی لازم اطمینان داد.
بسته به ماهیت قرارداد، این مراحل ممکنه شامل قفل کردن قرارداد، ایجاد عکس فوری و انتقال به یک قرارداد جدید باشه. علاوه بر این، کاربران این قراردادها تشویق میشن تا تأییدیههای همه قراردادهای وب سوم رو لغو کنن.
این توسعه دهنده Web3 همچنین در حال افزایش جوایز جایزه برای پلتفرم خودش به 50000 دلار هست و داره برای اجرای یک فرآیند حسابرسی دقیق تر تلاش میکنه.
در همین حال، 0xngmi، توسعهدهنده مستعار DeFillama، از جامعه خواست تا تأییدیههای قراردادهای وب ثالث رو لغو کنن، چرا که ممکنه افراد بدون اینکه بدونن برچسب سفید دارن با اونها تعامل داشته باشن.
پروژه های NFT به نگرانیها پاسخ میدهند
چندین پروژه NFT، از جمله OpenSea، به نگرانیهای ناشی از این آسیب پذیری پاسخ دادن.
اوپن سی (OpenSea) گفتگو با Thirdweb در مورد نگرانی های امنیتی در کالکشن های NFT خاص رو تایید کرد. پلتفرم NFT به پشتیبانی آتی از صاحبان مجموعه آسیب دیده اشاره کرد و تغییرات مربوط به انتقال قرارداد رو در پلتفرم اونها پیش بینی کرد.
بعضی از مجموعههای NFT مثل CoolCats و ApesRare به دارندگان اطمینان دادن که تحت تأثیر این آسیبپذیریها قرار نمیگیرن. با این حال، رویکرد افشای Thirdweb با انتقاداتی در جامعه مواجه شده.
منبع:
Web3 developer Thirdweb boosts bounty to $50,000 in light of fresh smart contract security risks