Thirdweb发现普通智能合约存在重大安全漏洞

智能合约开发公司Thirdweb报告了一个安全漏洞，该漏洞可能 影响Web3生态系统中的各种智能合约。

12 月 4 日，Thirdweb 报告了一个常用开源库中的漏洞，该漏洞可能会影响特定的预构建智能合约，包括其自身的一些合约。不过，Thirdweb 的调查结论是，目前该智能合约漏洞尚未被利用，这为 Web3 公司避免可能的黑客攻击留出了一小片机会之窗。

但Thirdweb 强调指出，如果不立即纠正，该漏洞有可能造成巨大损失：

在向 Web3 生态系统发出主动警告后，该公司提醒在 11 月 22 日之前部署其合约的独立用户或使用该公司提供的工具需要 采取缓解措施。

IMPORTANTOn November 20th 2023 6pm PST we became aware of a security vulnerability in a commonly used opensource library in the web3 industryThis impacts a variety of smart contracts across the web3 ecosystem including some of thirdweb’s prebuilt smart contracts

Thirdweb还建议开发者使用revokecash帮助用户撤销对所有受影响合约的批准，如果你选择不减免合约，这将会保护用户，DefiLlama开发者 0xngmi 对撤销批准的请求发表了评论。

btw this seems important theyre asking to revoke all approvals to third web contracts (you might have interacted with them without knowing as theyre whitelabelled especially if you do stuff around nfts) https//tco/T1YU9xnIRb

Thirdweb 已经联系了漏洞根源开源库的维护者，并联系了可能受该问题影响的其他团队。

该公司还承诺增加对安全措施的投资，并将漏洞悬赏奖金从 25 万美元翻倍至 5 万美元，同时实施更严格的审计流程。该公司还提供了一笔资金，用于支付减免合约费用。

出于安全考虑，该漏洞的全部细节并未披露，Cointelegraph 联系 Thirdweb 以获取进一步更新，但对方要求我们参考这篇博文。

在2022 年 8 月，Thirdweb与 Haun Ventures、Coinbase、Shopify 和 Polygon 在 A 轮融资中筹集了 2400 万美元。

这家 Web3 公司为游戏、铸币、市场和钱包提供多链智能合约部署工具，声称每月有超过 7 万名开发者使用其服务。