Certains créateurs de projets Ethereum NFT se démènent pour sécuriser leurs collections après que Thirdweb, une importante plateforme de développement de crypto-monnaies, ait révélé des problèmes avec ses contrats intelligents, lundi en fin de journée.
Thirdweb a écrit qu’une vulnérabilité de sécurité dans une « bibliothèque open-source couramment utilisée pour les contrats intelligents Web3 » a été découverte, et qu’elle affecte les contrats préconstruits offerts par Thirdweb entre autres. Les contrats intelligents contiennent le code qui alimente les applications décentralisées autonomes (dapps) et les collections NFT.
En raison de la gravité apparente de la vulnérabilité, Thirdweb ne révèle pas quelle bibliothèque open-source est à l’origine de l’exploit, ni les détails du problème. OpenZeppelin, une bibliothèque open-source largement utilisée pour les contrats intelligents, a depuis déclaré que le problème n’était pas lié à son dépôt.
« Sur la base de notre enquête, le problème est inhérent à une intégration problématique de modèles spécifiques, et n’est pas particulier aux implémentations contenues dans la bibliothèque OpenZeppelin Contracts », a tweeté la société, qui a toutefois ajouté qu’elle continuerait à « diriger les efforts pour évaluer qui, dans la communauté, est affecté et leur fournir des stratégies d’atténuation. «
IMPORTANT
Le 20 novembre 2023 6pm PST, nous avons pris connaissance d’une vulnérabilité de sécurité dans une bibliothèque open-source couramment utilisée dans l’industrie du web3.
Cela a un impact sur une variété de contrats intelligents à travers l’écosystème web3, y compris certains des contrats intelligents pré-construits de thirdweb….
– thirdweb (@thirdweb) Le 5 décembre 2023
Thirdweb a déclaré qu’elle ne pensait pas que des contrats intelligents aient encore été exploités, mais elle recommande aux projets d’entreprendre un processus d’atténuation qui comprend le verrouillage de leur contrat intelligent actuel et la migration vers un nouveau contrat, puis le largage de jetons aux détenteurs actuels. La société a déclaré qu’elle aiderait à couvrir les frais de réseau associés à la migration des détenteurs d’un contrat intelligent affecté.
Selon Thirdweb, la société a pris connaissance de la vulnérabilité du contrat le 20 novembre et a déployé un correctif dans ses modèles de contrats intelligents préconstruits le 22 novembre. Par conséquent, tous les contrats intelligents de Thirdweb déployés après 22 heures (heure de l’Est) le 22 novembre sont considérés comme sûrs, mais ceux déployés avant cette date peuvent être affectés.
L’exploit est lié aux smart contracts NFT qui utilisent les standards Ethereum ERC-721 et ERC-1155, mais aussi les jetons fongibles frappés via le standard ERC-20. Une liste complète des types de contrats affectés est disponible sur le blog de Thirdweb, ainsi qu’un outil d’atténuation permettant d’identifier les contrats affectés.
De nombreux acteurs majeurs de l’industrie se sont exprimés sur l’impact de ce problème sur leurs utilisateurs, les détenteurs de NFT et les créateurs de projets NFT.
Nous sommes en contact avec @thirdweb au sujet de la faille de sécurité qui affecte certaines collections NFT. Restez à l’écoute pour plus d’informations sur la façon dont nous pouvons aider les propriétaires de collections affectés par les changements sur OpenSea liés à la migration des contrats. Veuillez lire le post de @thirdweb ci-dessous pour plus de détails. https://t.co/HU6bmXWU7U
– OpenSea (@opensea) Le 5 décembre 2023
La principale place de marché de NFT, OpenSea, a tweeté que les utilisateurs devraient « rester à l’écoute pour plus d’informations sur la façon dont nous pouvons aider les propriétaires de collections affectés par les changements sur OpenSea liés à la migration des contrats ». Rarible, une autre place de marché de NFT, a déclaré que certaines gouttes de NFT sur sa plateforme sont également affectées à travers Ethereum et le réseau de mise à l’échelle de la sidechain Polygon.
Coinbase a déclaré que certaines collections créées sur sa plateforme NFT sont affectées, tandis que la startup de contrats intelligents Manifold a déclaré que ses propres contrats ne sont pas affectés. Base, le réseau de mise à l’échelle de la couche 2 d’Ethereum que Coinbase a incubé, a également déclaré que certains contrats de projet utilisés sur Base sont affectés, mais que le réseau lui-même est sécurisé.
Moca Transparency Tuesday – TL;DR : Mocas are SAFU, Funds are SAFU, Wallets are SAFU
Le 2 décembre à 11:17am HKT, nous avons été informés par @thirdweb, notre partenaire de développement de smart contracts pour les collections Mocaverse, qu’une mise à jour de sécurité des smart contracts était nécessaire…
– Mocaverse (@MocaverseNFT) December 5, 2023
Ethereum profile picture (PFP) project Cool Cats a déclaré que si ses principaux NFT sont sûrs, il migrera ses packs Avatar System vers un nouveau contrat. Parallèlement, la plateforme de jeu Mocaverse d’Animoca Brands a déclaré avoir migré ses différentes collections de NFT vers de nouveaux contrats, et laissera les détenteurs réclamer les nouvelles versions.
En plus de couvrir les frais pour les projets migrés, Thirdweb a écrit qu’elle a doublé ses paiements de primes de bogues de 25 000 $ à 50 000 $, et qu’elle utilisera « un processus d’audit plus rigoureux » à l’avenir.
