Scoperta vulnerabilità critica in libreria open-source NFT

La società Thirdweb, specializzata nella fornitura di strumenti per lo sviluppo di applicazioni Web3, ha recentemente rivelato l'esistenza di una vulnerabilità all'interno di una popolare libreria open-source utilizzata per creare contratti intelligenti, o smart contracts, per i token non fungibili (NFT). Tale vulnerabilità impatta diversi contratti utilizzati nell'industria Web3 e la scoperta è stata comunicata tramite un post su X, precedentemente noto come Twitter, il 20 novembre.

Azione preventiva richiesta per contratti smart

Nonostante non vi siano ancora segnalazioni di exploit attivi derivanti da questa lacuna di sicurezza, gli sviluppatori che hanno utilizzato contratti smart preconfigurati su Thirdweb sono stati avvertiti della necessità di adottare misure di mitigazione. Tali contratti, realizzati prima del 22 novembre 2023 alle 19:00 PT, includono DropERC20, ERC721, ERC1155 e AirDrop20, come dichiarato dalla società, che ha fornito anche una lista dettagliata e strumenti di verifica e mitigazione disponibili online.

Impatto sul settore e contromisure

L'identità della libreria colpita da questa vulnerabilità non è stata divulgata da Thirdweb per limitare i rischi di exploit, ma gli sviluppatori responsabili sono stati informati e avvertiti. A seguito di ciò, importanti attori del settore Web3, tra cui OpenSea e Coinbase Inc., si sono espressi riguardo alla questione, evidenziando la propria collaborazione con Thirdweb per assistere gli sviluppatori interessati.

Thirdweb rafforza le misure di sicurezza

Thirdweb ha dichiarato di voler utilizzare questo evento per intensificare gli sforzi nel campo della sicurezza, raddoppiando la ricompensa del suo bug bounty a $50,000 e introducendo processi di auditing più stringenti per individuare e scongiurare possibili minacce di questo tipo in futuro.