Einige Ersteller von Ethereum NFT-Projekten bemühen sich, ihre Sammlungen zu sichern, nachdem Thirdweb, eine prominente Krypto-Entwicklungsplattform, am späten Montag Probleme mit ihren Smart Contracts bekannt gegeben hat.
Thirdweb schrieb, dass eine Sicherheitslücke in einer „weit verbreiteten Open-Source-Bibliothek für Web3-Smart Contracts“ entdeckt wurde und dass sie unter anderem von Thirdweb angebotene vorgefertigte Verträge betrifft. Intelligente Verträge enthalten den Code, der autonome dezentrale Anwendungen (dapps) und NFT-Sammlungen antreibt.
Aufgrund der offensichtlichen Schwere der Sicherheitslücke gibt Thirdweb nicht bekannt, welche Open-Source-Bibliothek die Ursache für die Sicherheitslücke war und welche Details das Problem beinhaltet. OpenZeppelin, eine weit verbreitete Open-Source-Bibliothek für intelligente Verträge, hat inzwischen erklärt, dass das Problem nicht mit ihrem Repository zusammenhängt.
„Unsere Untersuchung hat ergeben, dass das Problem mit einer problematischen Integration bestimmter Muster zusammenhängt und nicht mit den Implementierungen in der OpenZeppelin Contracts-Bibliothek“, twitterte das Unternehmen – fügte aber hinzu, dass es dennoch „die Bemühungen anführen wird, um zu bewerten, wer in der Community betroffen ist, und ihnen Strategien zur Schadensbegrenzung zur Verfügung zu stellen.“
WICHTIG
Am 20. November 2023, 18 Uhr PST, wurden wir auf eine Sicherheitslücke in einer häufig verwendeten Open-Source-Bibliothek in der Web3-Industrie aufmerksam.
Dies wirkt sich auf eine Vielzahl von Smart Contracts im gesamten web3-Ökosystem aus, einschließlich einiger von thirdweb vorgefertigter Smart Contracts….
– thirdweb (@thirdweb) December 5, 2023
Thirdweb sagte, dass es nicht glaubt, dass bisher irgendwelche Smart Contracts ausgenutzt wurden, aber es empfiehlt, dass Projekte einen Entschärfungsprozess durchführen, der das Sperren ihres aktuellen Smart Contracts und die Migration zu einem neuen beinhaltet, um dann Token an die aktuellen Besitzer abzugeben. Das Unternehmen sagte, dass es helfen würde, die Netzwerkgebühren zu decken, die mit der Migration von Inhabern eines betroffenen Smart Contracts verbunden sind.
Nach eigenen Angaben wurde Thirdweb am 20. November auf die Vertragsschwachstelle aufmerksam und stellte am 22. November eine Korrektur für seine vorgefertigten Smart-Contract-Vorlagen bereit. Infolgedessen gelten alle Thirdweb-Smart-Contracts, die nach 22. November, 22 Uhr ET, bereitgestellt wurden, als sicher, während diejenigen, die vor diesem Zeitpunkt bereitgestellt wurden, möglicherweise betroffen sind.
Die Sicherheitslücke betrifft NFT-Smart Contracts, die die Ethereum-Standards ERC-721 und ERC-1155 verwenden, aber auch fungible Token, die über den ERC-20-Standard geprägt werden. Eine vollständige Liste der betroffenen Vertragstypen sowie ein Tool zur Schadensbegrenzung, mit dem betroffene Verträge identifiziert werden können, sind in einem Blogbeitrag von Thirdweb zu finden.
Viele wichtige Akteure der Branche haben sich dazu geäußert, wie sich das Problem auf ihre Nutzer, NFT-Inhaber und die Ersteller von NFT-Projekten auswirken könnte:
Wir stehen in Kontakt mit @thirdweb über die Sicherheitslücke, die einige NFT-Sammlungen betrifft. Bleiben Sie dran, um mehr darüber zu erfahren, wie wir die betroffenen Sammlungsinhaber bei allen Änderungen auf OpenSea im Zusammenhang mit der Vertragsmigration unterstützen können. Bitte lesen Sie den folgenden Beitrag von @thirdweb für weitere Details. https://t.co/HU6bmXWU7U
– OpenSea (@opensea) Dezember 5, 2023
Der große NFT-Marktplatz OpenSea hat getwittert, dass Nutzer „auf dem Laufenden bleiben sollten, um zu erfahren, wie wir betroffene Sammlungsinhaber bei Änderungen auf OpenSea im Zusammenhang mit der Vertragsumstellung unterstützen können.“ Rarible, ein weiterer NFT-Marktplatz, sagte, dass einige NFT-Drops auf seiner Plattform auch über Ethereum und das Sidechain-Skalierungsnetzwerk Polygon betroffen sind.
Coinbase sagte, dass einige Sammlungen, die auf seiner NFT-Plattform erstellt wurden, betroffen sind, während das Smart-Contract-Startup Manifold sagte, dass seine eigenen Verträge nicht betroffen sind. Base, das Ethereum Layer-2 Skalierungsnetzwerk, das Coinbase inkubiert hat, sagte ebenfalls, dass einige Projektverträge, die auf Base verwendet werden, betroffen sind, aber das Netzwerk selbst ist sicher.
Moca Transparency Tuesday – TL;DR: Mocas sind SAFU, Fonds sind SAFU, Wallets sind SAFU
Am 2. Dezember um 11:17 Uhr HKT wurden wir von @thirdweb, unserem Smart-Contract-Entwicklungspartner für die Mocaverse-Sammlungen, darauf aufmerksam gemacht, dass ein Sicherheitsupdate für die Smart Contracts erforderlich ist…
– Mocaverse (@MocaverseNFT) December 5, 2023
Ethereum-Profilbild (PFP)-Projekt Cool Cats sagte, dass seine wichtigsten NFTs sicher sind, aber es wird seine Avatar System Packs auf einen neuen Vertrag migrieren. Die Spieleplattform Mocaverse von Animoca Brands teilte mit, dass sie ihre verschiedenen NFT-Sammlungen auf neue Verträge migriert hat und die Inhaber die neuen Versionen einfordern können.
Zusätzlich zu den Gebühren für die migrierten Projekte schrieb Thirdweb, dass es seine Bug-Bounty-Zahlungen von $25.000 auf $50.000 verdoppelt hat und in Zukunft einen „strengeren Prüfungsprozess“ anwenden wird.
