Niektórzy twórcy projektów Ethereum NFT starają się zabezpieczyć swoje kolekcje po tym, jak Thirdweb, znana platforma rozwoju kryptowalut, ujawniła problemy ze swoimi inteligentnymi kontraktami pod koniec poniedziałku.
Thirdweb napisał, że odkryto lukę w zabezpieczeniach w „powszechnie używanej bibliotece open source dla inteligentnych kontraktów Web3” i że ma ona wpływ na wstępnie zbudowane kontrakty oferowane między innymi przez Thirdweb. Inteligentne kontrakty zawierają kod, który zasila autonomiczne zdecentralizowane aplikacje (dapps) i kolekcje NFT.
Ze względu na pozorną powagę luki, Thirdweb nie ujawnia, która biblioteka open source była źródłem exploita, ani szczegółów na temat tego, co pociąga za sobą problem. OpenZeppelin, szeroko stosowana biblioteka open source dla inteligentnych kontraktów, od tego czasu twierdzi, że problem nie jest powiązany z jej repozytorium.
„Opierając się na naszym dochodzeniu, problem jest nieodłącznie związany z problematyczną integracją określonych wzorców, a nie z implementacjami zawartymi w bibliotece OpenZeppelin Contracts” – napisano na Twitterze – ale dodano, że nadal będzie „prowadzić wysiłki w celu oceny, kto w społeczności jest dotknięty i zapewnić im strategie łagodzenia”.
IMPORTANT
W dniu 20 listopada 2023 r. o godz. 18:00 czasu pacyficznego dowiedzieliśmy się o luce w zabezpieczeniach powszechnie używanej biblioteki open source w branży web3.
Ma to wpływ na różne inteligentne kontrakty w ekosystemie web3, w tym na niektóre wstępnie zbudowane inteligentne kontrakty thirdweb….
– thirdweb (@thirdweb) December 5, 2023
Thirdweb oświadczył, że nie sądzi, aby jakiekolwiek inteligentne kontrakty zostały jeszcze wykorzystane, ale zaleca, aby projekty podjęły proces łagodzenia skutków, który obejmuje zablokowanie ich obecnego inteligentnego kontraktu i migrację do nowego, a następnie zrzut tokenów do obecnych posiadaczy. Firma oświadczyła, że pomoże pokryć opłaty sieciowe związane z migracją posiadaczy z dotkniętego inteligentnego kontraktu.
Według Thirdweb, firma dowiedziała się o luce w kontrakcie 20 listopada i 22 listopada wprowadziła poprawkę do swoich gotowych szablonów inteligentnych kontraktów. W rezultacie uważa się, że wszelkie inteligentne kontrakty Thirdweb wdrożone po godzinie 22:00 ET 22 listopada są bezpieczne, ale te wdrożone wcześniej mogą być dotknięte luką.
Exploit jest powiązany z inteligentnymi kontraktami NFT, które wykorzystują standardy Ethereum ERC-721 i ERC-1155, ale także zamienne tokeny wybite za pomocą standardu ERC-20. Pełna lista dotkniętych typów kontraktów jest dostępna za pośrednictwem posta na blogu Thirdweb, wraz z narzędziem łagodzącym, które może zidentyfikować wszelkie dotknięte kontrakty.
Wielu głównych graczy z branży wypowiedziało się na temat tego, jak kwestia ta może wpłynąć na ich użytkowników, posiadaczy NFT i twórców projektów NFT.
Jesteśmy w kontakcie z @thirdweb w sprawie luki w zabezpieczeniach wpływającej na niektóre kolekcje NFT. Więcej informacji na temat tego, w jaki sposób możemy pomóc właścicielom kolekcji, których to dotyczy, we wszelkich zmianach w OpenSea związanych z migracją umów. Więcej szczegółów można znaleźć w poniższym poście @thirdweb https://t.co/HU6bmXWU7U
– OpenSea (@opensea) 5 grudnia 2023
Major NFT marketplace OpenSea napisał na Twitterze, że użytkownicy powinni „być na bieżąco, aby uzyskać więcej informacji na temat tego, w jaki sposób możemy pomóc dotkniętym właścicielom kolekcji we wszelkich zmianach w OpenSea związanych z migracją kontraktów”. Rarible, inny rynek NFT, powiedział, że niektóre spadki NFT na jego platformie mają również wpływ na Ethereum i sieć skalowania sidechain Polygon.
Coinbase powiedział, że ma to wpływ na niektóre kolekcje utworzone na jego platformie NFT, podczas gdy startup Manifold z inteligentnymi kontraktami powiedział, że nie ma to wpływu na jego własne kontrakty. Base, sieć skalowania warstwy 2 Ethereum, która została inkubowana przez Coinbase, również stwierdziła, że niektóre kontrakty projektowe wykorzystywane w Base zostały naruszone, ale sama sieć jest bezpieczna.
Moca Transparency Tuesday – TL;DR: Mocas są SAFU, fundusze są SAFU, portfele są SAFU
2 grudnia o godzinie 11:17 HKT zostaliśmy poinformowani przez @thirdweb, naszego partnera w zakresie rozwoju inteligentnych kontraktów dla kolekcji Mocaverse, że istnieje potrzeba aktualizacji zabezpieczeń inteligentnych kontraktów…
– Mocaverse (@MocaverseNFT) December 5, 2023
Projekt Cool Cats związany z obrazkami profilowymi Ethereum (PFP) powiedział, że chociaż jego główne NFT są bezpieczne, to przeniesie swoje pakiety Avatar System do nowego kontraktu. W międzyczasie platforma do gier Mocaverse firmy Animoca Brands poinformowała, że zmigrowała swoje różne kolekcje NFT do nowych umów i pozwoli posiadaczom ubiegać się o nowe wersje.
Oprócz pokrycia opłat za migrowane projekty, Thirdweb napisał, że podwoił swoje wypłaty bug bounty z 25 000 USD do 50 000 USD i będzie wykorzystywał „bardziej rygorystyczny proces audytu” w przyszłości.
