Major Ethereum NFT markedspladser og projektudviklere implementerer nu forskellige foranstaltninger for at hjælpe med at løse et alvorligt smart kontraktproblem.
Nogle udviklere af Ethereum NFT-projekter skynder sig nu for at sikre deres samlinger, efter Thirdweb, en fremtrædende kryptoudviklingsplatform, meddelte, at den har haft problemer med sine smarte kontrakter siden 4. december.
Thirdweb skrev at der var en sikkerhedssårbarhed i et "almindeligt brugt open source-bibliotek til Web3 smarte kontrakter", og at det påvirkede de forudbyggede kontrakter leveret af blandt andre Thirdweb. Smarte kontrakter hoster koden, der driver NFT-samlinger og autonome decentraliserede apps (dapps).
Midt i alvorligheden af sårbarheden afholder Thirdweb sig fra at afsløre det udnyttede open source-bibliotek eller specifikke detaljer, mens OpenZeppelin præciserer, at problemet ikke er relateret til dets udbredte smarte kontraktlager.
Åbn Zeppelin Tweetet:
"Baseret på vores undersøgelse er spørgsmålet inderent til en problematisk integration af specifikke mønstre, og ikke specielt til implementeringerne indeholdt i OpenZeppelin Contracts-biblioteket. Vi vil stadig lede indsatsen for at vurdere, hvem i samfundet, der er berørt, og give dem afbødningsstrategier."
VIGTIG
Den 20. november 2023 kl. 6 PST blev vi opmærksomme på en sikkerhedssårbarhed i et almindeligt brugt open source-bibliotek i web3-industrien.
Dette påvirker en række smarte kontrakter på tværs af web3-økosystemet, inklusive nogle af Thirdwebs forudbyggede smarte kontrakter.…
— tredjeweb (@tredjeweb) 5. December, 2023
Thirdweb insisterede på, at det ikke mener, at nogen smarte kontrakter allerede er udnyttet, men anbefaler, at projekter gennemfører en afbødningsproces, der har en låsningrent smart kontrakt og skifte til en ny, og derefter luftdroppe tokens til curenrent holdere. Firmaet erklærede, at det ville hjælpe med at dække netværksgebyrer forbundet med migrerende indehavere fra en berørt smart kontrakt.
Baseret på erklæringen fra Thirdweb blev det opmærksom på kontraktsårbarheden den 20. november og udrullede en rettelse til sine forudbyggede smarte kontraktskabeloner den 22. november. Som følge heraf blev alle Thirdweb smarte kontrakter implementeret efter kl. 10:22 ET den XNUMX. november menes at være sikre, men de, der blev udsendt inden da, kan blive påvirket.
Udnyttelsen er knyttet til NFT smarte kontrakter, der udnytter Ethereum ERC-721 og ERC-1155 standarder og fungible tokens præget gennem ERC-20 standarden. En komplet liste over de berørte kontrakttyper er offentliggjort på Thirdwebs blogindlæg sammen med en afbødende værktøj der kan hjælpe migdentidentificere de berørte kontrakter.
De fleste store industrioperatører er kommet ud for at overveje, hvordan dette problem kan påvirke deres brugere, NFT-indehavere og NFT-projektudviklere.
vi er i kontakt med @tredjeweb om sikkerhedssårbarheden, der påvirker nogle NFT-samlinger. Hold dig opdateret for mere information om, hvordan vi kan hjælpe berørte samlingsejere med eventuelle ændringer på OpenSea knyttet til kontraktmigrering. Læs venligst @tredjeweb's indlæg nedenfor for flere detaljer. https://t.co/HU6bmXWU7U
- OpenSea (@opensea) 5. December, 2023
Stor NFT markedsplads OpenSea tweeted at brugerne skal "holde sig opdateret for mere information om, hvordan vi kan hjælpe berørte samlingsejere med eventuelle ændringer på OpenSea knyttet til kontraktmigrering."
En anden bemærkelsesværdig NFT-markedsplads, Rarible, sagde, at nogle NFT falder på sin platform er også påvirket på tværs Ethereum og sidekædeskaleringsnetværk Polygon.
Coinbase udtalte, at nogle samlinger udviklet på sin NFT-platform er påvirket, mens smart kontraktopstart sagde Manifold dets kontrakter er upåvirkede. Det Ethereum lag-2 skaleringsnetværk inkuberet af Coinbase, Base, udtalte også, at nogle af de projektkontrakter brugt på Base er berørt, men netværket er sikkert.
Moca Transparency tirsdag – TL;DR: Mocas er SAFU, midler er SAFU, tegnebøger er SAFU
Den 2. december kl. 11:17 HKT blev vi gjort opmærksomme på @tredjeweb, vores smarte kontraktudviklingspartner for Mocaverse-kollektionerne, at der var behov for en sikkerhedsopdatering til de smarte kontrakter...
— Mocaverse💼🪐 (@MocaverseNFT) 5. December, 2023
Seje katte, og Ethereum profile picture (PFP)-projektet, udtalte, at selvom dets vigtigste NFT'er er sikre, vil det skifte sine Avatar System-pakker til en ny kontrakt. I mellemtiden sagde Animoca Brands' Mocaverse-spilplatform, at den har ændret sin forskelrent NFT samler til nye kontrakter og vil give indehavere mulighed for at gøre krav på de nye versioner.
Udover at dække gebyrer for migrerede projekter, skrev Thirdweb, at det har fordoblet sine bug-bounty-betalinger fra $25,000 til $50,000, og vil bruge "en mere stringent revisionsproces" fremover.
