Някои създатели на Ethereum NFT проекти се борят да защитят колекциите си, след като Thirdweb, известна платформа за крипто разработки, разкри проблеми със своите интелигентни договори късно в понеделник.
Thirdweb написа, че е открита уязвимост в сигурността на „често използвана библиотека с отворен код за Web3 интелигентни договори“ и че тя засяга предварително подготвени договори, предлагани от Thirdweb, наред с други. Интелигентните договори съдържат кода, който захранва автономни децентрализирани приложения (dapps) и колекции от НФТ.
Поради очевидната сериозност на уязвимостта Thirdweb не разкрива коя библиотека с отворен код е в основата на експлойта, нито подробности за това какво включва проблемът. OpenZeppelin, широко използвана библиотека с отворен код за интелигентни договори, междувременно излезе, за да каже, че проблемът не е свързан с нейното хранилище.
„Въз основа на нашето разследване проблемът е присъщ на проблематично интегриране на специфични модели, а не е специфичен за имплементациите, съдържащи се в библиотеката за договори OpenZeppelin“, съобщи тя в Туитър – но добави, че все пак ще „ръководи усилията за оценка на това кой в общността е засегнат и ще му предостави стратегии за смекчаване на последиците.“
IMPORTANT
На 20 ноември 2023 г., 18:00 ч. българско време, научихме за уязвимост в сигурността на често използвана библиотека с отворен код в уеб3 индустрията.
Това оказва влияние върху различни интелигентни договори в екосистемата на web3, включително някои от предварително изградените интелигентни договори на thirdweb….
– thirdweb (@thirdweb) December 5, 2023
Thirdweb заяви, че не смята, че все още има експлоатирани интелигентни договори, но препоръчва на проектите да предприемат процес на смекчаване на последиците, който включва блокиране на текущия им интелигентен договор и преминаване към нов, след което да се предоставят токени на настоящите притежатели. Компанията заяви, че ще помогне за покриване на мрежовите такси, свързани с миграцията на притежателите от засегнатия интелигентен договор.
Според Thirdweb тя е разбрала за уязвимостта на договора на 20 ноември и е пуснала поправка в своите предварително създадени шаблони за интелигентни договори на 22 ноември. В резултат на това се смята, че всички интелигентни договори на Thirdweb, разгърнати след 22:00 ч. българско време на 22 ноември, са безопасни, но тези, разгърнати преди това, могат да бъдат засегнати.
Експлойтът е свързан с интелигентните договори на NFT, които използват стандартите ERC-721 и ERC-1155 на Ethereum, но също така и заменими токени, изсечени чрез стандарта ERC-20. Пълният списък на засегнатите типове договори е достъпен чрез публикация в блога на Thirdweb, заедно с инструмент за смекчаване, който може да идентифицира всички засегнати договори.
Много големи играчи от индустрията излязоха, за да изкажат мнението си за това как проблемът може да повлияе на техните потребители, притежатели на NFT и създатели на проекти за NFT.
Свързваме се с @thirdweb относно уязвимостта в сигурността, която оказва влияние върху някои колекции на NFT. Очаквайте повече информация за това как можем да помогнем на засегнатите собственици на колекции с всички промени в OpenSea, свързани с миграцията на договорите. Моля, прочетете публикацията на @thirdweb по-долу за повече подробности. https://t.co/HU6bmXWU7U
– OpenSea (@opensea) December 5, 2023
Мащабният пазар на НФТ OpenSea съобщи в Туитър, че потребителите трябва „да останат на линия за повече информация за това как можем да помогнем на засегнатите собственици на колекции с всички промени в OpenSea, свързани с миграцията на договорите“. Rarible, друг пазар на НФТ, заяви, че някои капки НФТ на неговата платформа също са засегнати в мрежата за мащабиране на Етериум и страничните вериги Polygon.
Coinbase заяви, че някои колекции, създадени на нейната платформа за НФТ, са засегнати, докато стартъпът за интелигентни договори Manifold заяви, че собствените му договори не са засегнати. Base, мрежата за скалиране на Етериум на ниво 2, която Coinbase инкубира, също заяви, че някои договори за проекти, използвани в Base, са засегнати, но самата мрежа е защитена.
Вторник на прозрачността на мока – TL;DR: Мока са SAFU, фондовете са SAFU, портфейлите са SAFU
На 2 декември в 11:17 ч. по Гринуич бяхме уведомени от @thirdweb, нашия партньор за разработване на интелигентни договори за колекциите Mocaverse, че има нужда от актуализация на сигурността на интелигентните договори…
– Mocaverse (@MocaverseNFT) December 5, 2023
Проектът за профилна снимка (PFP) на Етериум Cool Cats заяви, че макар основните му НФТ да са в безопасност, той ще мигрира своите пакети Avatar System към нов договор. Междувременно платформата за игри Mocaverse на Animoca Brands заяви, че е мигрирала своите различни колекции от НФП към нови договори и ще позволи на притежателите да предявят претенции към новите версии.
В допълнение към покриването на таксите за мигрираните проекти Thirdweb написа, че е удвоила плащанията си за награди за грешки от 25 000 на 50 000 долара и ще използва „по-строг процес на одит“ занапред.
