亚历山大·萨文科夫 Thirdweb 是一家 Web3 开发框架提供商,该公司最近启动了修复一个严重漏洞的流程,该漏洞可能会影响各种网络中的大量智能合约。该漏洞于 11 月被发现,影响了 Thirdweb 提供的一系列预构建智能合约,这些合约利用未公开的开源库来快速部署应用程序。
为了应对这一安全问题,Thirdweb 已采取重大措施来降低众多以太坊虚拟机 (EVM) 网络中的风险。在过去 48 小时内,已有超过 8,000 份合约采取了缓解措施,以遏制此漏洞的潜在影响。此外,该组织正在积极努力扩大这些努力。
虽然 Thirdweb 承认该漏洞与业内广泛使用的开源 Web3 库有关,但他们并未透露有关漏洞性质的具体细节或采取的具体缓解措施。需要注意的是,该漏洞影响 Thirdweb 的几个预构建智能合约,这些合约旨在在 EVM 链上部署应用程序。
截至撰写本文时,Thirdweb 已确认只有两个智能合约被利用,但尚未提供更多细节。
解决此漏洞的征程始于 11 月 20 日,当时 Thirdweb 开始着手开发缓解工具。12 月 4 日,Thirdweb 向公众公布了这一情况,并积极与受影响的合作伙伴(例如 NFT 市场 Opensea)合作,提供早期预警。
此外,Thirdweb 还联系了未公开的 Web3 开源库的维护人员和相关第三方,告知了他们有关问题。他们还分享了他们的发现以及正在采取的缓解漏洞的措施。
鉴于这些发展,Thirdweb 已表明其致力于加强安全性。他们计划将现有漏洞赏金计划的支付金额增加一倍,从 $25,000 增加到 $50,000。此外,他们将实施更严格的审计流程来加强其安全措施。
这种情况的背景是 2023 年黑客攻击和漏洞利用的惊人增长。据区块链安全公司 Certik 称,截至 9 月初,已有超过 $1 亿的智能合约被盗。值得注意的是,此类攻击的成本在 9 月份不断上升,当月因黑客攻击、诈骗和漏洞利用造成的损失总计达到 $3.32 亿。
鉴于情况的严重性,利益相关者和更广泛的社区必须密切关注 Thirdweb 的持续努力及其对安全形势的影响。欢迎您对 Thirdweb 的漏洞披露和缓解措施发表看法,并可在下方的评论区分享。
目录
关于智能合约漏洞缓解的常见问题 (FAQ)
问:Thirdweb 正在解决什么漏洞?
答:Thirdweb 正在解决 11 月发现的一个严重漏洞。此漏洞影响 Thirdweb 提供的用于部署应用程序的各种预构建智能合约。此漏洞的具体性质尚未披露。
问:到目前为止,Thirdweb 已经缓解了多少合同?
答:在过去的 48 小时内,Thirdweb 已经缓解了 8,000 多个合约,以遏制漏洞的影响。他们正在积极努力扩大这些缓解措施。
问:此漏洞是否已被利用?
答:Thirdweb 已确认,截至目前,只有两个智能合约因该漏洞而被利用。但是,尚未提供有关这些漏洞的更多详细信息。
问:Thirdweb 何时开始致力于修复此漏洞?
答:Thirdweb 于 11 月 20 日开始着手开发针对此漏洞的缓解工具。该情况于 12 月 4 日公开。
问:Thirdweb 采取了哪些措施来增强安全性?
答:Thirdweb 将其漏洞赏金计划的支付金额增加了一倍,从 $25,000 增加到 $50,000。他们还实施了更严格的审计流程以加强其安全措施。
问:2023 年智能合约安全的更广泛背景是什么?
答:2023 年,区块链领域的黑客攻击和漏洞利用显著增加。据区块链安全公司 Certik 称,截至 9 月初,已有超过 $1 亿的智能合约被盗。攻击成本不断上升,9 月份因黑客攻击、诈骗和漏洞利用而损失的金额达 $3.32 亿。
3 评论
Thirdweb 迅速采取行动解决漏洞。8000 份合约得到缓解。2 份合约被利用。2023 年形势严峻!
Thirdweb 不分享具体信息?不利于透明度。但快速行动很重要。
Thirdweb 将漏洞赏金增加一倍。好举措!10 亿美元被盗。需要更好的安全性。