Sommige makers van Ethereum NFT-projecten proberen hun collecties te beveiligen nadat Thirdweb, een vooraanstaand crypto-ontwikkelingsplatform, maandag laat problemen met zijn slimme contracten bekendmaakte.
Thirdweb schreef dat een beveiligingslek in een “veelgebruikte open-source bibliotheek voor Web3 smart contracts” was ontdekt, en dat het invloed heeft op vooraf gebouwde contracten die onder andere worden aangeboden door Thirdweb. Slimme contracten bevatten de code die autonome gedecentraliseerde apps (dapps) en NFT-collecties aandrijven.
Vanwege de klaarblijkelijke ernst van de kwetsbaarheid, maakt Thirdweb niet bekend welke open-source bibliotheek de oorzaak was van de exploit, of details over wat het probleem inhoudt. OpenZeppelin, een veelgebruikte open-source bibliotheek voor smart contracts, heeft sindsdien laten weten dat het probleem niet te maken heeft met zijn repository.
“Gebaseerd op ons onderzoek is het probleem inherent aan een problematische integratie van specifieke patronen, en niet specifiek aan de implementaties in de OpenZeppelin Contracts library,” tweette het bedrijf, maar het voegde eraan toe dat het nog steeds “de inspanning zou leiden om te beoordelen wie in de gemeenschap is getroffen en hen te voorzien van strategieën om het probleem op te lossen.”
BELANGRIJK
Op 20 november 2023 18:00 PST zijn we ons bewust geworden van een beveiligingslek in een veelgebruikte open-source bibliotheek in de web3-industrie.
Dit heeft invloed op een verscheidenheid aan slimme contracten in het hele web3 ecosysteem, waaronder enkele van thirdweb’s vooraf gebouwde slimme contracten….
– thirdweb (@thirdweb) December 5, 2023
Thirdweb zei dat het gelooft dat er nog geen slimme contracten zijn misbruikt, maar het raadt aan dat projecten een risicobeperkingsproces uitvoeren dat het vergrendelen van hun huidige slimme contract en het migreren naar een nieuwe omvat, en vervolgens tokens droppen naar de huidige houders. Het bedrijf zei dat het zou helpen bij het dekken van netwerkkosten in verband met het migreren van houders van een getroffen smart contract.
Volgens Thirdweb, werd het zich bewust van het contract kwetsbaarheid op 20 november en rolde een fix uit naar haar vooraf gebouwde smart contract sjablonen op 22 november. Als gevolg hiervan worden alle Thirdweb smart contracts die na 22 november 22.00 uur ET zijn geïmplementeerd verondersteld veilig te zijn, maar degenen die voor die tijd zijn geïmplementeerd kunnen worden getroffen.
De exploit is gekoppeld aan NFT smart contracts die gebruik maken van de Ethereum ERC-721 en ERC-1155 standaarden, maar ook fungibele tokens geslagen via de ERC-20 standaard. Een volledige lijst van getroffen contract types is beschikbaar via Thirdweb’s blog post, samen met een mitigatie tool die alle getroffen contracten kan identificeren.
Veel grote spelers in de industrie hebben hun stem laten horen over hoe het probleem hun gebruikers, NFT-houders en makers van NFT-projecten kan beïnvloeden.
We hebben contact met @thirdweb over het beveiligingslek in sommige NFT collecties. Blijf op de hoogte voor meer informatie over hoe we de getroffen collectie-eigenaren kunnen helpen met wijzigingen in OpenSea in verband met contractmigratie. Lees het onderstaande bericht van @thirdweb voor meer informatie. https://t.co/HU6bmXWU7U
– OpenSea (@opensea) December 5, 2023
De grote NFT marktplaats OpenSea tweette dat gebruikers “op de hoogte moeten blijven voor meer informatie over hoe we getroffen collectie-eigenaren kunnen helpen met eventuele wijzigingen op OpenSea in verband met contractmigratie.” Rarible, een andere NFT marktplaats, zei dat sommige NFT drops op haar platform ook getroffen zijn op Ethereum en sidechain scaling netwerk Polygon.
Coinbase zei dat sommige verzamelingen die zijn aangemaakt op zijn NFT platform beïnvloed zijn, terwijl smart contract startup Manifold zei dat zijn eigen contracten niet beïnvloed zijn. Base, het Ethereum laag-2 schalingsnetwerk dat Coinbase heeft opgezet, zei ook dat sommige projectcontracten die op Base worden gebruikt zijn getroffen, maar dat het netwerk zelf veilig is.
Moca Transparantie Dinsdag – TL;DR: Moca’s zijn SAFU, Fondsen zijn SAFU, Portemonnees zijn SAFU
Op 2 dec om 11:17am HKT werden we er door @thirdweb, onze smart contract development partner voor de Mocaverse collecties, op gewezen dat er behoefte was aan een beveiligingsupdate voor de smart contracts…
– Mocaverse (@MocaverseNFT) December 5, 2023
P
Ethereum profielfoto (PFP) project Cool Cats zei dat terwijl zijn belangrijkste NFT’s veilig zijn, het zijn Avatar System packs zal migreren naar een nieuw contract. Ondertussen zei Animoca Brands’ Mocaverse gaming platform dat het zijn verschillende NFT-collecties heeft gemigreerd naar nieuwe contracten, en zal het houders de nieuwe versies laten claimen.
Naast het dekken van vergoedingen voor gemigreerde projecten, schreef Thirdweb dat het zijn bug bounty betalingen heeft verdubbeld van $25.000 naar $50.000, en dat het “een rigoureuzer auditproces” zal gaan gebruiken in de toekomst.
