根据社交媒体平台 X(前身为 Twitter) 12 月 4 日的声明,Web3 软件开发工具包 (SDK) 提供商 Thirdweb 确认广泛使用的开源库中存在安全漏洞,影响了众多 Web3 智能合约。
该公司表示,该漏洞最初于 11 月 20 日发现,影响了 web3 生态系统中的各种智能合约,包括一些预构建的智能合约。不过,它澄清说,该漏洞尚未被利用,并没有公开开源库,以防止潜在的利用。该公司写道:
根据我们迄今为止的调查,该漏洞尚未在任何 ThirdWeb 智能合约中被利用。然而,智能合约所有者必须对太平洋时间 2023 年 11 月 22 日晚上 7 点之前在 ThirdWeb 上创建的某些预构建智能合约采取缓解措施。
Thirdweb 确定了 13 个受影响的智能合约,包括 AirdropERC20、ERC721、ERC1155 等受该漏洞影响的智能合约。
建议智能合约所有者采取主动缓解措施以防止被利用。此外,Thirdweb 还保证与安全合作伙伴持续努力开发工具,以便轻松识别和执行必要的缓解措施。
根据合约的性质,这些步骤可能涉及合约锁定、快照创建和迁移到新合约。此外,鼓励这些合约的用户撤销对所有 Thirdweb 合约的批准。
Thirdweb 还将其平台的赏金奖励增加到 50,000 美元,并正在实施更严格的审核流程。与此同时,Dellama 的化名开发者0xngmi敦促社区撤销对 ThirdWeb 合约的批准,因为人们可能在不知情的情况下与它们进行交互,因为它们是白标的。
包括OpenSea在内的多个 NFT 项目已对该漏洞引发的担忧做出了回应。OpenSea 证实与 Thirdweb 就特定 NFT 集合的安全问题进行了讨论。NFT 平台暗示即将为受影响的收藏品所有者提供支持,并预计与其平台上的合约迁移相关的变化。
CoolCats 和 ApesRare 等一些 NFT 集合已向其持有者保证,他们不会受到这些漏洞的影响。然而,Thirdweb 的披露方式受到了社区内部的批评。
