Alcuni creatori di progetti Ethereum NFT stanno cercando di mettere in sicurezza le loro collezioni dopo che Thirdweb, un’importante piattaforma di sviluppo di criptovalute, ha rivelato problemi con i suoi contratti intelligenti lunedì scorso.
Thirdweb ha scritto che è stata scoperta una vulnerabilità di sicurezza in una “libreria open-source comunemente usata per i contratti intelligenti Web3” e che riguarda i contratti precostituiti offerti da Thirdweb e da altri. I contratti intelligenti contengono il codice che alimenta le applicazioni decentralizzate autonome (dapps) e le raccolte NFT.
A causa dell’apparente gravità della vulnerabilità, Thirdweb non ha rivelato quale libreria open-source sia all’origine dell’exploit, né i dettagli relativi al problema. OpenZeppelin, una libreria open-source ampiamente utilizzata per i contratti intelligenti, ha dichiarato che il problema non è legato al suo repository.
“Sulla base delle nostre indagini, il problema è inerente a un’integrazione problematica di schemi specifici e non riguarda in particolare le implementazioni contenute nella libreria OpenZeppelin Contracts”, ha twittato l’azienda, aggiungendo però che “condurrà comunque gli sforzi per valutare chi nella comunità è interessato e fornirà loro strategie di mitigazione”.
IMPORTANTE
Il 20 novembre 2023 alle 18:00 PST, siamo venuti a conoscenza di una vulnerabilità di sicurezza in una libreria open-source comunemente utilizzata nel settore web3.
Questo ha un impatto su una serie di smart contract nell’ecosistema web3, compresi alcuni degli smart contract pre-costruiti da thirdweb….
– thirdweb (@thirdweb) December 5, 2023
Thirdweb ha dichiarato di non ritenere che alcuno smart contract sia stato ancora sfruttato, ma raccomanda ai progetti di intraprendere un processo di mitigazione che includa il blocco dello smart contract corrente e la migrazione a uno nuovo, per poi rilasciare i token agli attuali titolari. La società ha dichiarato che contribuirà a coprire le spese di rete associate alla migrazione dei titolari da uno smart contract interessato.
Secondo Thirdweb, l’azienda è venuta a conoscenza della vulnerabilità del contratto il 20 novembre e il 22 novembre ha implementato una correzione ai suoi modelli di smart contract precostituiti. Di conseguenza, si ritiene che tutti gli smart contract di Thirdweb distribuiti dopo le 22:00 ET del 22 novembre siano sicuri, ma quelli distribuiti prima di allora potrebbero esserne affetti.
L’exploit è legato agli smart contract NFT che utilizzano gli standard Ethereum ERC-721 ed ERC-1155, ma anche i token fungibili coniati tramite lo standard ERC-20. L’elenco completo dei tipi di contratto interessati è disponibile sul blog di Thirdweb, insieme a uno strumento di mitigazione in grado di identificare i contratti interessati.
Molti dei principali operatori del settore sono intervenuti per spiegare l’impatto che il problema può avere sui loro utenti, sui titolari di NFT e sui creatori di progetti NFT.
Siamo in contatto con @thirdweb in merito alla vulnerabilità della sicurezza che ha un impatto su alcune collezioni NFT. Rimanete sintonizzati per ulteriori informazioni su come possiamo assistere i proprietari delle collezioni interessate con qualsiasi modifica su OpenSea legata alla migrazione dei contratti. Per maggiori dettagli, leggete il post di @thirdweb https://t.co/HU6bmXWU7U
– OpenSea (@opensea) Dicembre 5, 2023
Il principale mercato NFT OpenSea ha twittato che gli utenti dovrebbero “rimanere sintonizzati per ulteriori informazioni su come possiamo assistere i proprietari di collezioni interessati con qualsiasi cambiamento su OpenSea legato alla migrazione dei contratti”. Rarible, un altro marketplace di NFT, ha dichiarato che alcuni drop di NFT sulla sua piattaforma sono stati colpiti anche su Ethereum e sulla rete di scaling sidechain Polygon.
Coinbase ha dichiarato che alcune collezioni create sulla sua piattaforma NFT sono state colpite, mentre la startup Manifold ha dichiarato che i suoi contratti non sono stati toccati. Anche Base, la rete di scaling layer-2 di Ethereum incubata da Coinbase, ha dichiarato che alcuni contratti di progetto utilizzati su Base sono stati colpiti, ma la rete stessa è sicura.
Martedì della trasparenza sulle Moca – TL;DR: le Moca sono SAFU, i fondi sono SAFU, i portafogli sono SAFU
Il 2 dicembre alle 11:17 HKT, siamo stati informati da @thirdweb, il nostro partner per lo sviluppo dei contratti smart per le collezioni Mocaverse, della necessità di un aggiornamento della sicurezza dei contratti smart…
– Mocaverse (@MocaverseNFT) Dicembre 5, 2023
Il progetto Cool Cats di immagini di profilo (PFP) di Ethereum ha dichiarato che, mentre i suoi NFT principali sono al sicuro, migrerà i suoi pacchetti Avatar System su un nuovo contratto. Nel frattempo, la piattaforma di gioco Mocaverse di Animoca Brands ha dichiarato di aver migrato le sue varie collezioni di NFT a nuovi contratti e permetterà ai titolari di richiedere le nuove versioni.
Oltre a coprire le spese per i progetti migrati, Thirdweb ha scritto di aver raddoppiato i pagamenti dei bug bounty da 25.000 a 50.000 dollari e che in futuro utilizzerà “un processo di verifica più rigoroso”.
