Někteří tvůrci projektů Ethereum NFT se snaží zabezpečit své sbírky poté, co Thirdweb, významná platforma pro vývoj kryptoměn, v pondělí pozdě večer odhalila problémy se svými chytrými kontrakty.
Společnost Thirdweb napsala, že byla objevena bezpečnostní chyba v „běžně používané open-source knihovně pro chytré kontrakty Web3“ a že se týká předpřipravených kontraktů nabízených mimo jiné společností Thirdweb. Chytré smlouvy obsahují kód, který pohání autonomní decentralizované aplikace (dapps) a sbírky NFT.
Vzhledem ke zjevné závažnosti zranitelnosti společnost Thirdweb nezveřejňuje, která open-source knihovna byla zdrojem zneužití, ani podrobnosti o tom, co problém obnáší. OpenZeppelin, široce používaná open-source knihovna pro chytré kontrakty, mezitím vyšla najevo, že problém není spojen s jejím repozitářem.
„Na základě našeho vyšetřování je problém vlastní problematické integraci specifických vzorů, a ne konkrétně implementacím obsaženým v knihovně OpenZeppelin Contracts,“ uvedla na Twitteru, ale dodala, že i přesto „povede snahu o posouzení, kdo z komunity je postižen, a poskytne mu strategie zmírnění“.
DŮLEŽITÉ
Dne 20. listopadu 2023 18:00 PST jsme se dozvěděli o bezpečnostní chybě v běžně používané open-source knihovně v odvětví web3.
To má dopad na celou řadu chytrých kontraktů napříč ekosystémem web3, včetně některých předpřipravených chytrých kontraktů společnosti thirdweb….
– thirdweb (@thirdweb) December 5, 2023
Thirdweb uvedl, že se nedomnívá, že by zatím došlo ke zneužití nějakého chytrého kontraktu, ale doporučuje projektům provést proces zmírnění, který zahrnuje uzamčení jejich stávajícího chytrého kontraktu a přechod na nový, a poté airdropping tokenů současným držitelům. Společnost uvedla, že pomůže pokrýt síťové poplatky spojené s migrací držitelů z postižené chytré smlouvy.
Podle společnosti Thirdweb se o zranitelnosti smlouvy dozvěděla 20. listopadu a 22. listopadu zavedla opravu do svých předpřipravených šablon chytrých smluv. V důsledku toho se předpokládá, že všechny chytré smlouvy společnosti Thirdweb nasazené po 22. hodině SELČ dne 22. listopadu jsou bezpečné, ale ty, které byly nasazeny předtím, mohou být postiženy.
Zneužití je vázáno na chytré kontrakty NFT, které využívají standardy Ethereum ERC-721 a ERC-1155, ale také zastupitelné tokeny ražené prostřednictvím standardu ERC-20. Úplný seznam postižených typů smluv je k dispozici prostřednictvím příspěvku na blogu společnosti Thirdweb spolu s nástrojem pro zmírnění, který dokáže identifikovat všechny postižené smlouvy.
Mnoho významných hráčů v oboru se vyjádřilo k tomu, jaký dopad může mít tento problém na jejich uživatele, držitele NFT a tvůrce projektů NFT.
Jsme v kontaktu s @thirdweb ohledně bezpečnostní chyby, která má dopad na některé sbírky NFT. Zůstaňte naladěni na další informace o tom, jak můžeme postiženým majitelům sbírek pomoci s případnými změnami v systému OpenSea spojenými s migrací smluv. Podrobnější informace naleznete v níže uvedeném příspěvku @thirdweb https://t.co/HU6bmXWU7U
– OpenSea (@opensea) December 5 2023
Velké tržiště NFT OpenSea na Twitteru uvedlo, že uživatelé by měli „zůstat naladěni na další informace o tom, jak můžeme pomoci dotčeným vlastníkům sbírek s případnými změnami na OpenSea spojenými s migrací smluv“. Rarible, další NFT tržiště, uvedlo, že některé NFT dropy na jeho platformě jsou také ovlivněny napříč Ethereem a sidechainovou škálovací sítí Polygon.
Společnost Coinbase uvedla, že některé sbírky vytvořené na její platformě NFT jsou ovlivněny, zatímco spouštěč inteligentních smluv Manifold uvedl, že jeho vlastní smlouvy nejsou ovlivněny. Base, síť pro škálování na 2. vrstvě Etherea, kterou Coinbase inkubovala, také uvedla, že některé projektové smlouvy využívané na Base jsou ovlivněny, ale samotná síť je bezpečná.
Úterý transparentnosti moca – TL;DR: Moca jsou SAFU, fondy jsou SAFU, peněženky jsou SAFU.
Dne 2. prosince v 11:17 HKT nás @thirdweb, náš partner pro vývoj chytrých smluv pro kolekce Mocaverse, upozornil, že je potřeba provést bezpečnostní aktualizaci chytrých smluv…
– Mocaverse (@MocaverseNFT) December 5, 2023
Ethereum profilový obrázek (PFP) projekt Cool Cats uvedl, že zatímco jeho hlavní NFT jsou v bezpečí, bude migrovat své balíčky Avatar System na novou smlouvu. Mezitím herní platforma Mocaverse společnosti Animoca Brands uvedla, že migrovala své různé sbírky NFT do nových smluv a umožní držitelům nárokovat si nové verze.
Kromě pokrytí poplatků za migrované projekty společnost Thirdweb napsala, že zdvojnásobila své odměny za chyby z 25 000 na 50 000 dolarů a do budoucna bude využívat „přísnější proces auditu“.
