著名な暗号開発プラットフォームであるThirdwebが月曜日遅くに同社のスマートコントラクトに関する問題を公表した後、イーサリアムNFTプロジェクトの一部のクリエーターは、コレクションの安全確保に奔走している。
サードウェブは、「Web3スマートコントラクトのために一般的に使用されているオープンソースライブラリ」にセキュリティ脆弱性が発見され、サードウェブが提供するプレビルドコントラクトなどに影響を及ぼすと記している。スマートコントラクトは、自律分散型アプリ(dapps)やNFTコレクションを動かすコードを保持している。
脆弱性の深刻さが明らかであるため、Thirdwebは、どのオープンソースライブラリが悪用の根源であったか、また問題の内容に関する詳細については開示していない。スマートコントラクト用のオープンソースライブラリとして広く使われているOpenZeppelinは、その後、この問題は同社のリポジトリとは関係ないと表明している。
「私たちの調査によると、この問題は特定のパターンの統合に問題があり、OpenZeppelin Contractsライブラリに含まれる実装に固有のものではありません」とツイートしたが、「コミュニティ内の誰が影響を受けているかを評価し、緩和策を提供するための取り組みを主導します」と付け加えた。
重要
2023年11月20日午後6時(太平洋標準時)、Web3業界で一般的に使用されているオープンソースライブラリにセキュリティ脆弱性があることが判明しました。
これはweb3エコシステム全体の様々なスマートコントラクトに影響を及ぼし、thirdwebが事前に構築したスマートコントラクトの一部も含まれます…
– thirdweb (@thirdweb) 2023年12月5日
Thirdwebは、スマートコントラクトが悪用されたとはまだ考えていないが、プロジェクトは現在のスマートコントラクトをロックダウンし、新しいスマートコントラクトに移行し、現在の保有者にトークンをエアドロップすることを含む緩和プロセスを実施することを推奨すると述べた。同社は、影響を受けたスマートコントラクトからの保有者の移行に関連するネットワーク手数料を支援すると述べた。
サードウェブによると、同社は11月20日に契約の脆弱性を認識し、11月22日に事前ビルドのスマート契約テンプレートに修正を施した。その結果、11月22日午後10時(米国東部時間)以降にデプロイされたサードウェブのスマートコントラクトは安全であると考えられるが、それ以前にデプロイされたものは影響を受ける可能性がある
。
このエクスプロイトは、イーサリアムのERC-721およびERC-1155標準を使用するNFTスマートコントラクトに関連していますが、ERC-20標準を介して鋳造されたカンジブルトークンも同様です。影響を受けるコントラクトの全リストは、Thirdwebのブログ投稿から入手可能で、影響を受けるコントラクトを特定できる緩和ツールも提供されている。
この問題がユーザー、NFT保有者、NFTプロジェクト作成者にどのような影響を与えるかについて、多くの主要な業界関係者が意見を表明しています
。
一部のNFTコレクションに影響を及ぼすセキュリティの脆弱性について、@thirdwebと連絡を取っています。契約移行に伴うOpenSea上の変更について、影響を受けたコレクション所有者をどのようにサポートできるか、詳細については続報をお待ちください。詳細は以下の@thirdwebの投稿をご覧ください。https://t.co/HU6bmXWU7U
– OpenSea (@opensea) 2023年12月5日
大手NFTマーケットプレイスOpenSeaは、ユーザーは “契約移行に伴うOpenSea上の変更について、影響を受けるコレクション所有者をどのように支援できるか、詳細情報をお待ちください “とツイートした。別のNFTマーケットプレイスであるRaribleは、イーサリアムとサイドチェーンスケーリングネットワークのPolygon全体でも、同社のプラットフォーム上の一部のNFTドロップが影響を受けていると述べた。
Coinbaseは、同社のNFTプラットフォームで作成された一部のコレクションが影響を受けていると述べたが、スマートコントラクトのスタートアップであるManifoldは、自社のコントラクトは影響を受けていないと述べた。Coinbaseがインキュベートしたイーサリアムのレイヤー2スケーリングネットワークであるBaseも、Base上で利用されている一部のプロジェクトコントラクトが影響を受けているが、ネットワーク自体は安全であると述べている
。
Moca Transparency Tuesday – TL;DR: Mocas are SAFU, Funds are SAFU, Wallets are SAFU
12月2日午前11時17分(HKT)、モカバース・コレクションのスマートコントラクト開発パートナーである@thirdwebから、スマートコントラクトのセキュリティアップデートが必要であることを知らされました…
– Mocaverse (@MocaverseNFT) December 5, 2023
イーサリアムのプロフィール画像(PFP)プロジェクトCool Catsは、主要なNFTは安全だが、アバターシステムパックを新しい契約に移行すると述べた。一方、Animoca BrandsのMocaverseゲームプラットフォームは、さまざまなNFTコレクションを新しい契約に移行し、保有者に新バージョンを請求させると発表した。
Thirdwebは、移行したプロジェクトの手数料を負担することに加え、バグ報奨金の支払いを25,000ドルから50,000ドルに倍増させ、今後は「より厳格な監査プロセス」を利用すると記している
。