오픈 소스 라이브러리의 결함으로 인해 여러 NFT 컬렉션이 위험에 처해 있음
Web3 공간 전반에 걸쳐 공통적으로 존재하는 오픈 소스 라이브러리의 취약점은 사전 구축된 스마트 계약의 보안에 영향을 미치고 Coinbase를 포함한 여러 NFT 컬렉션에 영향을 미칩니다.
이번 공개는 오늘 오전 Web3 개발 플랫폼 Thirdweb에서 나왔습니다. 이 발표는 계약을 보호하는 데 도움이 될 수 있는 설명을 원하는 일부 사용자를 짜증나게 하는 최소한의 세부 정보를 제공합니다.
Thirdweb 11월 20일에 보안 결함을 인지하고 이틀 후 수정을 추진했지만 공격자에게 정보 를 제공하는 것을 방지하기 위해 라이브러리 이름과 취약점의 유형 또는 심각도는 공개하지 않았습니다. .
회사에서는 다음과 같이 말합니다.-nbsp; 취약한 라이브러리의 관리자에게 연락 하고 다른 프로토콜 및 조직에 문제를 알리고 발견 사항과 완화 방법을 공유했습니다.
다음 스마트 계약이 결함의 영향을 받습니다.
AirdropERC20(v1.0.3 이상), ERC721(v1.0.4 이상), ERC1155(v1.0.4 이상) ERC20Claimable, ERC721Claimable, ERC1155Claimable
BurnToClaimDropERC721(모든 버전)
DropERC20, ERC721, ERC1155(모든 버전)
로열티카드
MarketplaceV3(모든 버전)
멀티랩, Multiwrap_OS RoyaltyFilter
OpenEditionERC721(v1.0.0 이상)
팩 앤 팩_OS RoyaltyFilter
TieredDrop(모든 버전)
TokenERC20, ECRC721, ERC1155(모든 버전)
SignatureDrop, SignatureDrop_OS RoyaltyFilter
분할(낮은 영향)
TokenStake, NFTStake, EditionStake(모든 버전)
Thirdweb은 "우리의 Solidity SDK를 사용하여 기본 계약을 확장하거나 사용자 정의 계약을 구축한 경우 취약성이 귀하의 계약까지 확장된다고 생각하지 않습니다"라고 설명하며 "개별 계약을 감사할 수 없기 때문에 이것이 보장되지는 않습니다"라고 덧붙였습니다. ."
Thirdweb은 영향을 받은 라이브러리의 관리자와 공격 세부 정보를 공유했으며 공격에 취약점이 활용되는 것을 본 적이 없다고 밝혔습니다.
투명성 부족으로 인해 분노한 사용자
세부 정보가 없기 때문에 일부 사용자는 설명을 요청하거나 문제가 라이브러리의 Thirdweb 구현에 있다고 추측합니다 .
한 사용자는 취약점의 CVE(Common Vulnerability and Exposures) 식별자와 완화 방법에 대한 설명을 요청하는 투명성이 부족하다고 불평했습니다.
출처 : 누리
취약한 계약 잠금
Thirdweb은 스마트 계약 소유자가 2023년 11월 22일 오후 7시(태평양 표준시) 이전에 생성된 모든 사전 구축 계약에 대해 즉시 완화 조치를 취해야 한다고 말했습니다.
조언은 취약한 계약을 잠그고 스냅샷을 찍은 다음 취약하지 않은 버전의 라이브러리로 생성된 새 계약으로 마이그레이션하는 것입니다. 영향을 받는 계약을 완화하는 방법에 대한 전용 도구 및 튜토리얼은 다음과 같습니다.-nbsp; 여기에 제공됩니다 .
Thirdweb은 계약 완화를 위해 소급 가스 보조금을 제공할 것이라고 말했습니다. 하지만 사용자는 그렇게 해야 합니다. 승인을 받으려면 양식을 작성하세요 .
당연히 이 경고는 귀중한 NFT 보유자들을 걱정하게 만들었고 대규모 NFT 거래 플랫폼은 이미 상황에 대응했습니다.
월요일 발표에서, Coinbase NFT는 지난 금요일에 이 취약점을 발견했으며 이 취약점이 Thirdweb으로 생성된 일부 컬렉션에 영향을 미친다고 밝혔습니다 .
암호화폐 거래소 플랫폼은 "Coinbase 자체는 이 문제의 영향을 받지 않으며 Coinbase의 모든 자금은 안전합니다"라고 덧붙였습니다.
스마트 계약 개발을 위한 OpenZeppelin 라이브러리의 관리자에게도 Thirdweb의 DropERC20, ERC721, ERC1155(모든 버전) 및 AirdropERC20 사전 구축 계약 버전에 영향을 미치는 문제에 대한 정보가 전달되었습니다.
"우리 조사에 따르면 이 문제는 특정 패턴의 통합 문제에 내재되어 있으며 OpenZeppelin 계약 라이브러리에 포함된 구현에만 국한된 것이 아닙니다." - 오픈제플린
Animoca Brands 생태계의 멤버십 NFT 컬렉션인 Mocaverse도 사용자에게 자산이 안전하며 "Mocaverse NFT, Lucky Neko 및 Mocaverse Relic 컬렉션 스마트 계약을 성공적으로 업그레이드하여 관련 보안 취약점을 해결했습니다"라고 업데이트했습니다.
화요일에 가능한 모든 완화 조치를 수행한 후 Mocaverse는 Animoca Brands 자회사에 잠재적 위험이 있음을 알리고 사용자 자산의 안전을 위해 필요한 조치를 취할 수 있도록 했습니다.
"Realm 티켓 및 명예 컬렉션을 포함하여 업그레이드할 수 없는 계약의 경우 관련 계약을 잠그고 모든 데이터의 스냅샷을 찍은 후 원래 보유자가 Thirdweb 기반을 통해 이전 보유를 기반으로 NFT를 청구할 수 있도록 허용합니다. 알려진 취약점이 없는 새로운 스마트 계약에 대해" - 모카버스
마찬가지로 OpenSea에는 관련된 위험을 완화하고 영향을 받는 사용자를 지원할 계획을 세우기 위해 Thirdweb과 긴밀히 협력하고 있다고 발표했습니다 .
