Algunos creadores de proyectos NFT de Ethereum están luchando para asegurar sus colecciones después de que Thirdweb, una prominente plataforma de desarrollo de criptomonedas, revelara problemas con sus contratos inteligentes a última hora del lunes.
Thirdweb escribió que se descubrió una vulnerabilidad de seguridad en una «biblioteca de código abierto comúnmente utilizada para contratos inteligentes Web3», y que afecta a los contratos pre-construidos ofrecidos por Thirdweb entre otros. Los contratos inteligentes contienen el código que alimenta las aplicaciones descentralizadas autónomas (dapps) y las colecciones de NFT.
Debido a la aparente gravedad de la vulnerabilidad, Thirdweb no ha revelado qué biblioteca de código abierto fue la raíz del ataque, ni detalles sobre lo que implica el problema. OpenZeppelin, una biblioteca de código abierto muy utilizada para contratos inteligentes, ha declarado que el problema no está relacionado con su repositorio.
«Basándonos en nuestra investigación, el problema es inherente a una integración problemática de patrones específicos, y no particular a las implementaciones contenidas en la biblioteca OpenZeppelin Contracts», tuiteó, pero añadió que seguiría «liderando el esfuerzo para evaluar quién en la comunidad está afectado y proporcionarles estrategias de mitigación».
IMPORTANTE
El 20 de noviembre de 2023 6pm PST, nos dimos cuenta de una vulnerabilidad de seguridad en una biblioteca de código abierto de uso común en la industria web3.
Esto afecta a una variedad de contratos inteligentes en todo el ecosistema web3, incluyendo algunos de los contratos inteligentes pre-construidos de thirdweb….
– thirdweb (@thirdweb) 5 de diciembre de 2023
Thirdweb dijo que no cree que ningún contrato inteligente haya sido explotado todavía, pero recomienda que los proyectos lleven a cabo un proceso de mitigación que incluya el bloqueo de su contrato inteligente actual y la migración a uno nuevo, a continuación, airdropping tokens a los titulares actuales. La empresa afirma que ayudará a cubrir las tarifas de red asociadas a la migración de los titulares de un contrato inteligente afectado.
Según Thirdweb, tuvo conocimiento de la vulnerabilidad del contrato el 20 de noviembre y el 22 de noviembre introdujo una corrección en sus plantillas de contratos inteligentes preconfiguradas. Como resultado, cualquier contrato inteligente de Thirdweb desplegado después de las 10 p.m. ET del 22 de noviembre se considera seguro, pero los desplegados antes de esa fecha pueden verse afectados.
El exploit está vinculado a los contratos inteligentes NFT que utilizan los estándares ERC-721 y ERC-1155 de Ethereum, pero también a los tokens fungibles acuñados mediante el estándar ERC-20. Thirdweb ha publicado en su blog una lista completa de los tipos de contratos afectados, junto con una herramienta de mitigación que permite identificar los contratos afectados.
Muchos actores importantes de la industria han salido a opinar sobre cómo el problema puede afectar a sus usuarios, titulares de NFT y creadores de proyectos de NFT.
Estamos en contacto con @thirdweb acerca de la vulnerabilidad de seguridad que afecta a algunas colecciones NFT. Estén atentos para más información sobre cómo podemos ayudar a los propietarios de colecciones afectados con cualquier cambio en OpenSea relacionado con la migración de contratos. Para más información, lea el siguiente post de @thirdweb https://t.co/HU6bmXWU7U
– OpenSea (@opensea) 5 de diciembre de 2023
El principal mercado de NFT, OpenSea, tuiteó que los usuarios deberían «permanecer atentos para obtener más información sobre cómo podemos ayudar a los propietarios de colecciones afectados con cualquier cambio en OpenSea vinculado a la migración de contratos.» Rarible, otro mercado de NFT, dijo que algunas caídas de NFT en su plataforma también se ven afectadas a través de Ethereum y la red de escalamiento sidechain Polygon.
Coinbase dijo que algunas colecciones creadas en su plataforma NFT se ven afectadas, mientras que la startup de contratos inteligentes Manifold dijo que sus propios contratos no se ven afectados. Base, la red de escalado de capa 2 de Ethereum que Coinbase incubó, también dijo que algunos contratos de proyectos utilizados en Base se ven afectados, pero la red en sí es segura.
Martes de transparencia en las Mocas – TL;DR: Las Mocas son SAFU, los Fondos son SAFU, las Carteras son SAFU
El 2 de diciembre a las 11:17am HKT, fuimos informados por @thirdweb, nuestro socio de desarrollo de contratos inteligentes para las colecciones Mocaverse, de que era necesario actualizar la seguridad de los contratos inteligentes…
– Mocaverse (@MocaverseNFT) 5 de diciembre de 2023
El proyecto de imagen de perfil de Ethereum (PFP) Cool Cats dijo que, si bien sus principales NFT están a salvo, migrará sus paquetes de Avatar System a un nuevo contrato. Mientras tanto, la plataforma de juegos Mocaverse de Animoca Brands dijo que ha migrado sus diversas colecciones de NFT a nuevos contratos, y permitirá a los titulares reclamar las nuevas versiones.
Además de cubrir los honorarios de los proyectos migrados, Thirdweb escribió que ha duplicado sus pagos de bug bounty de 25.000 a 50.000 dólares, y utilizará «un proceso de auditoría más riguroso» en el futuro.
