Ujawniono krytyczną lukę w zabezpieczeniach smart kontraktów! Oto jak uchronić swoje kryptowaluty przed tykającą bombą

bithub.pl 1 rok temu

Cena Bitcoina dobiła już do poziomu 43 000 USD za sztukę, zaraz za nią szybują altcoiny. Na rynek powszechnie wróciła chciwość, a co za tym idzie skrajna nieodpowiedzialność. Rynek byka to prawdziwy raj dla oszustów, a ofiarą może ostatecznie paść każde z nas. Tymczasem firma zajmująca się cyberbezpieczeństwem na blockchainie, Mint Defense, poinformowała o wykryciu krytycznej luki w zabezpieczeniach smart kontraktów. Czy nasze kryptowaluty są zagrożone? Posłuchajcie.

Nasze kryptowaluty mogą być zagrożone

Na alarm uderzyła w dzwon po raz pierwszy firma „thirdweb” oferująca kompleksowe narzędzia dla budujących w sektorze Web3.0. W opublikowanym na platformie X (Twitterze) poście podano informacje na temat nowowykrytej, krytycznej luki w zabezpieczeniach którą w każdej chwili mogą wykorzystać oszuści, atakując osoby korzystające z łańcucha bloków i inteligentnych kontraktów.

IMPORTANT

On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.

This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…

— thirdweb (@thirdweb) December 5, 2023

Jak uzupełnia MintDefense, firma zajmująca się cyberbezpieczeństwem na blockchainie, zagrożonych jest większość prefabrykowanych i oddanych klientom inteligentnych kontraktów. Główna przyczyna tego problemu wiąże się z powszechnie używaną biblioteką otwartoźródłową. Niestety, szczegółów, takich jak identyfikacja podatnej biblioteki czy samego exploitu, nie ujawniono, prawdopodobnie aby nie ułatwiać pracy złoczyńcom i nie narazić jeszcze większej liczby ofiar na straty. Problem dotyka natomiast z całą pewnością większości inteligentnych kontraktów stworzonych przez thirdweb wdrożonych przed 22 listopada o godzinie 19:00 czasu PST (godz. 4 w nocy czasu polskiego)

🚨 Major Web3 Security Alert – ACTION REQUIRED

Today @thirdweb released a security alert about a vulnerability affecting some of their pre-built smart contracts: https://t.co/py0BbBGQ5t.

In a nutshell, the root cause of the vulnerability originates from a commonly used…

— MintDefense (@MintDefense) December 5, 2023

Sytuacja ma potencjalnie poważne konsekwencje dla firm i projektów korzystających z tych kontraktów. Wśród zagrożonych eksperci MintDefense wymieniają m.in. „platformy handlu tokenami niezamiennymi (NFT) oraz projekty NFT”. Czy to wszystko? Absolutnie nie. Istnieją obawy, iż złośliwe podmioty mogą wykorzystać nowowykrytą lukę w zabezpieczeniach w celu rozwinięcia wektoru ataku, rozszerzając potencjalne zagrożenie na wszystkie kontrakty korzystających z felernej biblioteki. Nikt nie jest zatem bezpieczny.

Przezorny zawsze zabezpieczony

W obliczu braku pełnych informacji i asymetrycznego ryzyka zaleca się podjęcie następujących działań:

Cofnięcie zgód w witrynie RevokeCash lub podobnej: Użytkownicy powinni rozważyć cofnięcie zgód na platformie RevokeCash służącej do anulowania udzielonych zgód smart kontraktom dla projektów kryptograficznych. Najbezpieczniej na witrynę jest wejść przez media społecznościowe aby zminimalizować ryzyko interakcji z podstawioną stroną.

⚠️ Today, @thirdweb disclosed a vulnerability report that reported a bug in a popular smart contract library. This library is presumably used by a number of smart contracts in the space.https://t.co/8MeeJjnEoc

— Revoke.cash (@RevokeCash) December 5, 2023

Monitorowanie komunikatów w mediach społecznościowych: Użytkownicy powinni śledzić media społecznościowe projektów, w których uczestniczą. o ile padną one ofiarą ataku prawdopodobnie dowiemy się o tym wcześniej niż inni.

Dołączenie do Discorda: Discordy projektów to często miejsca, gdzie udostępniane są najnowsze informacje na temat ekosystemu. Dołączenie do tejże platformy pozwoli użytkownikom na bezpośredni kontakt z zespołem projektowym i uzyskanie odpowiedzi na ewentualne pytania czy obawy w związku z exploitem.

Idź do oryginalnego materiału