Некоторые создатели проектов Ethereum NFT пытаются защитить свои коллекции после того, как Thirdweb, известная платформа для разработки криптовалют, раскрыла проблемы со своими смарт-контрактами в конце понедельника.
Thirdweb написала, что была обнаружена уязвимость в «широко используемой библиотеке с открытым исходным кодом для смарт-контрактов Web3», и что она затрагивает предварительно созданные контракты, предлагаемые Thirdweb и другими компаниями. Смарт-контракты — это код, на котором основаны автономные децентрализованные приложения (dapps) и коллекции NFT.
Ввиду очевидной серьезности уязвимости, Thirdweb не раскрывает, какая библиотека с открытым исходным кодом послужила причиной эксплойта, а также не сообщает подробностей о том, с чем связана проблема. OpenZeppelin, широко используемая библиотека с открытым исходным кодом для смарт-контрактов, впоследствии заявила, что проблема не связана с ее репозиторием.
«По результатам нашего расследования, проблема связана с проблемной интеграцией определенных шаблонов, а не с реализацией, содержащейся в библиотеке OpenZeppelin Contracts», — написала компания в своем твиттере, но добавила, что все равно «возглавит работу по оценке того, кто из сообщества пострадал, и предоставит им стратегии смягчения последствий. «
ВАЖНО
20 ноября 2023 года в 18:00 по тихоокеанскому времени нам стало известно об уязвимости в широко используемой библиотеке с открытым исходным кодом в индустрии web3.
Это повлияло на различные смарт-контракты в экосистеме web3, включая некоторые из предварительно созданных смарт-контрактов thirdweb….
— thirdweb (@thirdweb) December 5, 2023
Thirdweb заявила, что, по ее мнению, ни один смарт-контракт еще не был использован, но она рекомендует проектам предпринять меры по снижению риска, которые включают блокировку текущего смарт-контракта и переход на новый, а затем воздушную рассылку токенов текущим держателям. Компания заявила, что поможет покрыть сетевые сборы, связанные с миграцией держателей из пострадавшего смарт-контракта.
Согласно заявлению Thirdweb, компания узнала об уязвимости контракта 20 ноября и 22 ноября выпустила исправление для своих предварительно созданных шаблонов смарт-контрактов. В результате все смарт-контракты Thirdweb, развернутые после 22:00 по восточному времени 22 ноября, считаются безопасными, но те, которые были развернуты до этого времени, могут быть затронуты.
Эксплойт связан со смарт-контрактами NFT, использующими стандарты Ethereum ERC-721 и ERC-1155, а также со сменными токенами, майнингованными по стандарту ERC-20. Полный список затронутых типов контрактов доступен в блоге Thirdweb, а также инструмент, позволяющий выявить все затронутые контракты.
Многие крупные игроки индустрии высказались о том, как эта проблема может повлиять на их пользователей, держателей NFT и создателей проектов NFT.
Мы находимся в контакте с @thirdweb по поводу уязвимости безопасности, влияющей на некоторые коллекции NFT. Следите за дополнительной информацией о том, как мы можем помочь владельцам затронутых коллекций с любыми изменениями в OpenSea, связанными с миграцией контрактов. Пожалуйста, прочитайте пост @thirdweb ниже для получения более подробной информации. https://t.co/HU6bmXWU7U
— OpenSea (@opensea) Декабрь 5, 2023
Крупнейшая торговая площадка НФТ OpenSea сообщила в Твиттере, что пользователям следует «оставаться в курсе событий, чтобы узнать, как мы сможем помочь пострадавшим владельцам коллекций с любыми изменениями на OpenSea, связанными с миграцией контрактов». Rarible, еще одна торговая площадка NFT, сообщила, что некоторые NFT-дропы на ее платформе также затронуты Ethereum и сайдчейн-сетью масштабирования Polygon.
Coinbase заявила, что некоторые коллекции, созданные на ее платформе NFT, затронуты, в то время как стартап Manifold, занимающийся разработкой смарт-контрактов, заявил, что его собственные контракты не затронуты. Base, сеть масштабирования второго уровня Ethereum, которую инкубировала Coinbase, также заявила, что некоторые контракты проектов, используемые на Base, пострадали, но сама сеть в безопасности.
Вторник прозрачности мока — TL;DR: мока — это SAFU, фонды — это SAFU, кошельки — это SAFU
2 декабря в 11:17 утра HKT мы получили информацию от @thirdweb, нашего партнера по разработке смарт-контрактов для коллекций Mocaverse, о необходимости обновления безопасности смарт-контрактов…
— Mocaverse (@MocaverseNFT) December 5, 2023
Проект Cool Cats, работающий на платформе Ethereum, сообщил, что, хотя его основные NFT в безопасности, он переведет свои пакеты Avatar System на новый контракт. Тем временем игровая платформа Mocaverse от Animoca Brands заявила, что перенесла свои различные коллекции NFT на новые контракты и позволит владельцам требовать новые версии.
В дополнение к покрытию расходов на перенос проектов, Thirdweb написала, что удвоила выплаты за ошибки с $25 000 до $50 000 и будет использовать «более строгий процесс аудита» в будущем.