Alguns criadores de projetos Ethereum NFT estão lutando para proteger suas coleções depois que a Thirdweb, uma plataforma de desenvolvimento de criptografia proeminente, divulgou problemas com seus contratos inteligentes na segunda-feira.
A Thirdweb escreveu que uma vulnerabilidade de segurança em uma “biblioteca de código aberto comumente usada para contratos inteligentes Web3” foi descoberta e que afeta contratos pré-construídos oferecidos pela Thirdweb, entre outros. Os contratos inteligentes contêm o código que alimenta aplicativos descentralizados autônomos (dapps) e coleções NFT.
Devido à aparente gravidade da vulnerabilidade, a Thirdweb não está divulgando qual biblioteca de código aberto foi a raiz da exploração, ou detalhes sobre o que o problema envolve. O OpenZeppelin, uma biblioteca de código aberto amplamente utilizada para contratos inteligentes, desde então, disse que o problema não está vinculado ao seu repositório.
“Com base em nossa investigação, o problema é inerente a uma integração problemática de padrões específicos, e não particular às implementações contidas na biblioteca OpenZeppelin Contracts “, twittou – mas acrescentou que ainda” lideraria o esforço para avaliar quem na comunidade é afetado e fornecer-lhes estratégias de mitigação.
IMPORTANTE
Em 20 de novembro de 2023, às 18h PST, tomamos conhecimento de uma vulnerabilidade de segurança em uma biblioteca de código aberto comumente usada na indústria web3.
Isso afeta uma variedade de contratos inteligentes em todo o ecossistema web3, incluindo alguns dos contratos inteligentes pré-construídos da thirdweb….
– thirdweb (@thirdweb) December 5, 2023
A
Thirdweb disse que não acredita que nenhum contrato inteligente tenha sido explorado, mas recomenda que os projectos levem a cabo um processo de mitigação que inclua o bloqueio do seu contrato inteligente atual e a migração para um novo, e depois a entrega de tokens aos actuais detentores. A empresa disse que ajudaria a cobrir as taxas de rede associadas à migração de titulares de um contrato inteligente afetado.
De acordo com a Thirdweb, ela tomou conhecimento da vulnerabilidade do contrato em 20 de novembro e lançou uma correção para seus modelos de contrato inteligente pré-construídos em 22 de novembro. Como resultado, acredita-se que todos os contratos inteligentes da Thirdweb implementados após as 22h00 ET de 22 de novembro são seguros, mas os implementados antes dessa data podem ser afectados.
A exploração está ligada a contratos inteligentes NFT que utilizam os padrões Ethereum ERC-721 e ERC-1155, mas também tokens fungíveis cunhados através do padrão ERC-20. Uma lista completa dos tipos de contratos afetados está disponível na postagem do blog da Thirdweb, junto com uma ferramenta de mitigação que pode identificar quaisquer contratos afetados.
Muitos dos principais participantes da indústria vieram pesar sobre como o problema pode impactar seus usuários, detentores de NFT e criadores de projetos NFT.
Estamos em contacto com @thirdweb sobre a vulnerabilidade de segurança que afecta algumas colecções NFT. Fique atento a mais informações sobre como podemos ajudar os proprietários de colecções afectados com quaisquer alterações no OpenSea relacionadas com a migração de contratos. Para mais informações, leia o post de @thirdweb abaixo. https://t.co/HU6bmXWU7U
– OpenSea (@opensea) 5 de dezembro de 2023
O principal mercado de NFT, OpenSea, tweetou que os usuários deveriam “ficar atentos para obter mais informações sobre como podemos ajudar os proprietários de coleções afetados com quaisquer alterações no OpenSea vinculadas à migração de contratos”. Rarible, outro mercado de NFT, disse que algumas quedas de NFT em sua plataforma também são afetadas em Ethereum e na rede de escalonamento de sidechain Polygon.
A Coinbase disse que algumas coleções criadas em sua plataforma NFT foram afetadas, enquanto a startup de contrato inteligente Manifold disse que seus próprios contratos não foram afetados. Base, a rede de escalonamento da camada 2 do Ethereum que a Coinbase incubou, também disse que alguns contratos de projeto utilizados na Base são afetados, mas a própria rede é segura.
Moca Transparência Terça-feira – TL;DR: Mocas são SAFU, Fundos são SAFU, Carteiras são SAFU
Em 2 de dezembro às 11h17 HKT, fomos informados por @thirdweb, nosso parceiro de desenvolvimento de contrato inteligente para as coleções Mocaverse, que havia a necessidade de uma atualização de segurança para os contratos inteligentes …
– Mocaverse (@MocaverseNFT) 5 de dezembro de 2023
O projeto de imagem de perfil Ethereum (PFP) Cool Cats disse que, embora seus principais NFTs estejam seguros, ele migrará seus pacotes do Avatar System para um novo contrato. Enquanto isso, a plataforma de jogos Mocaverse da Animoca Brands disse que migrou suas várias coleções NFT para novos contratos e permitirá que os detentores reivindiquem as novas versões.
Além de cobrir as taxas para projetos migrados, a Thirdweb escreveu que dobrou seus pagamentos de recompensa por bugs de $ 25,000 para $ 50,000 e utilizará “um processo de auditoria mais rigoroso” daqui para frente.
