Une faille de taille
Thirdweb, un développeur clé de contrats intelligents, a récemment découvert une vulnérabilité de sécurité critique. Cette découverte a soulevé des alarmes dans le secteur du Web3, affectant potentiellement une vaste gamme de contrats intelligents utilisés dans diverses applications de jeux, de finance, de marchés et de portefeuilles. Cette vulnérabilité a été trouvée dans une bibliothèque open source couramment utilisée, essentielle au fonctionnement de ces contrats.
Cependant, Thirdweb a choisi de ne pas divulguer le nom de la bibliothèque en question, ni les détails de la faille, en raison de son sérieux apparent. OpenZeppelin, une autre bibliothèque open source réputée pour les contrats intelligents, a précisé que le problème n’était pas lié à ses propres codes.
Heureusement, les investigations de Thirdweb n’ont révélé aucun cas d’exploitation de cette vulnérabilité jusqu’à présent. Cela fournit une opportunité cruciale pour les entreprises Web3 de prendre des mesures préventives pour sécuriser leurs systèmes. La faille concerne plusieurs contrats standard, y compris les normes DropERC20, ERC721 et ERC1155. Des actions immédiates sont nécessaires pour réduire les risques associés à ces contrats.
Des mesures urgentes à prendre
En réaction à cette faille, Thirdweb a émis un avertissement urgent à sa communauté, notamment pour ceux ayant déployé des contrats avant le 22 novembre. Elle les a incités à prendre des mesures d’atténuation, incluant l’utilisation d’outils proposés par Thirdweb ou de solutions alternatives comme revoke.cash, suggéré par le développeur DeFiLlama 0xngmi. Thirdweb a également contacté les responsables de la bibliothèque affectée et d’autres équipes potentiellement impactées.
La révélation de cette vulnérabilité a provoqué une réaction en chaîne dans l’industrie. Des plateformes NFT de premier plan comme OpenSea et Rarible, ainsi que le réseau Ethereum de couche 2 Base, ont reconnu l’impact potentiel sur leurs services. Coinbase a également indiqué que certaines collections sur sa plateforme NFT sont affectées. En revanche, Manifold, une startup de contrats intelligents, a confirmé que ses contrats n’étaient pas concernés.
Des projets influents tels que Cool Cats et Mocaverse d’Animoca Brands ont entrepris de migrer leurs collections NFT vers de nouveaux contrats pour assurer la sécurité de leurs actifs numériques.
