Thirdweb, acteur majeur du développement detracintelligents pour l'écosystème Web3, a récemmentdentune faille de sécurité importante. Cette découverte a suscité l'inquiétude au sein de l'industrie Web3, car elle pourrait impacter un large éventail detracintelligents utilisés dans diverses applications.
trac concernés concernent divers domaines, notamment les jeux, la création de cryptomonnaies, les places de marché et les portefeuilles numériques. Il est à noter que, selon un article de blog, cette vulnérabilité a été découverte dans une bibliothèque open source largement utilisée, essentielle au fonctionnement de ces contrats trac .
Thirdweb a décidé de ne pas révéler le nom de la bibliothèque open source à l'origine de la vulnérabilité ni de fournir d'informations sur la nature du problème, compte tenu de sa gravité apparente. OpenZeppelin, une bibliothèque open source populaire pour lestracintelligents, a déclaré que le problème n'était pas lié à son dépôt.
Malgré la gravité de la vulnérabilité, l'enquête approfondie de Thirdweb a révélé qu'à ce jour, heureusement, aucune exploitation n'a été constatée. Cette découverte offre aux entreprises du Web3 une opportunité cruciale de mettre en œuvre des mesures préventives et de sécuriser leurs systèmes contre d'éventuelles intrusions. La vulnérabilité affecte plusieurstracpré-établis, notamment les normes DropERC20, ERC721 et ERC1155. Une action immédiate est nécessaire pour atténuer les risques associés à cestrac.
Les mesures proactives et les conseils de la communauté de Thirdweb
En réponse à cette vulnérabilité, Thirdweb a publié un avis urgent à destination de ses utilisateurs, notamment ceux ayant déployé destracavant le 22 novembre. L'entreprise encourage les développeurs et les utilisateurs à prendre des mesures d'atténuationdent . Il s'agit notamment d'utiliser les outils fournis par Thirdweb ou des solutions comme revoke.cashcashrecommandées par le développeur DefiLlama « 0xngmi ». Ces mesures sont essentielles pour les utilisateurs qui pourraient choisir de ne pas mettre à jour leurstracimmédiatement.
De plus, Thirdweb a contacté les responsables de la bibliothèque open source concernée ainsi que d'autres équipes potentiellement impactées. Afin de renforcer ses protocoles de sécurité, Thirdweb a doublé le montant de ses primes de découverte de bogues, les faisant passer de 25 000 $ à 50 000 $. Cette augmentation significative témoigne de l'engagement de l'entreprise à consolider ses mesures de sécurité et à garantir la sûreté de ses outils de déploiement detracintelligents. Par ailleurs, un processus d'audit plus rigoureux est mis en place pour améliorer la sécurité globale.
Mesures correctives pour préserver l'écosystème Web3
La révélation de cette vulnérabilité a suscité une vague de réactions de la part de divers acteurs du secteur. NFT comme OpenSea et Rarible, ainsi que Ethereum , Base, ont reconnu l'impact potentiel sur leurs plateformes et s'efforcent d'aider les propriétaires de collections concernées.
Coinbase, autre acteur majeur du secteur, a révélé que certaines collections de sa plateforme NFT sont affectées. En revanche, la startup Manifold, trac a confirmé que ses contrats trac sont pas concernés.
Des projets de premier plan tels que Cool Cats et Mocaverse d'Animoca Brands ont pris des mesures pour migrer leurs collections NFT vers de nouveauxtrac, garantissant ainsi la sécurité de leurs actifs.
