Açık kaynak kitaplığında birden fazla NFT koleksiyonu kusur nedeniyle risk altında
Açık kaynak kitaplığında Web3 alanında yaygın olan bir güvenlik açığı, önceden oluşturulmuş akıllı sözleşmelerin güvenliğini etkileyerek Coinbase de dahil olmak üzere birden fazla NFT koleksiyonunu etkiliyor.
Açıklama bugün erken saatlerde Web3 geliştirme-nbsp;platform Thirdweb'den geldi. Duyuru, sözleşmeleri korumalarına yardımcı olabilecek açıklamalar isteyen bazı kullanıcıları rahatsız eden minimum düzeyde ayrıntı sağlıyor.
Thirdweb 20 Kasım'da güvenlik açığının farkına vardığını ve iki gün sonra bir düzeltme talebinde bulunduğunu ancak saldırganların ihbarını önlemek için kitaplığın adını ve güvenlik açığının türünü veya ciddiyetini açıklamadığını söyledi . .
Şirket şunu söylüyor: nbsp; Savunmasız kütüphanenin bakımcılarıyla temasa geçti ve diğer protokolleri ve kuruluşları da uyararak bulguları ve hafifletici önlemleri paylaştı.
Aşağıdaki akıllı sözleşmeler bu kusurdan etkilenmektedir:
AirdropERC20 (v1.0.3 ve üzeri), ERC721 (v1.0.4 ve üzeri), ERC1155 (v1.0.4 ve üzeri) ERC20Talep Edilebilir, ERC721Talep Edilebilir, ERC1155Talep Edilebilir
BurnToClaimDropERC721 (tüm sürümler)
DropERC20, ERC721, ERC1155 (tüm versiyonlar)
Sadakat kartı
MarketplaceV3 (Tüm sürümler)
Çoklu sarma, Çoklu sarma_OSRoyaltyFilter
OpenEditionERC721 (v1.0.0 ve üzeri)
Paketle ve Paketle_OSRoyaltyFilter
TieredDrop (tüm sürümler)
TokenERC20, ECRC721, ERC1155 (tüm versiyonlar)
SignatureDrop, SignatureDrop_OSRoyaltyFilter
Bölünmüş (düşük etki)
TokenStake, NFTStake, EditionStake (Tüm sürümler)
Thirdweb, "Temel sözleşmemizi genişletmek veya özel bir sözleşme oluşturmak için Solidity SDK'mızı kullandıysanız, güvenlik açığının sözleşmenizi kapsadığına inanmıyoruz" diye açıklıyor ve bunun bir garanti olmadığını, çünkü "bireysel sözleşmeleri denetleyemediklerini" ekliyor "
Thirdweb, istismarın ayrıntılarını etkilenen kütüphanenin bakımcılarıyla paylaştı ve saldırılarda bu güvenlik açığından yararlanıldığını görmediğini söyledi.
Kullanıcılar şeffaflık eksikliğinden rahatsız
Ayrıntıların olmayışı, bazı kullanıcıların açıklama istemesine ya da sorunun kitaplığın Thirdweb uygulamasıyla ilgili olduğunu tahmin ediyorum .
Bir kullanıcı, güvenlik açığının CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) tanımlayıcısını ve azaltmanın nasıl çalıştığına dair bir açıklama isteyen şeffaflık eksikliğinden şikayetçi oldu.
kaynak: nuri
Savunmasız sözleşmeleri kilitleyin
Thirdweb, akıllı sözleşme sahiplerinin 22 Kasım 2023 saat 19.00'dan (PT) önce oluşturulan tüm önceden oluşturulmuş sözleşmeler için derhal hafifletici önlemler alması gerektiğini söyledi.
Tavsiye, savunmasız sözleşmeleri kilitlemek, anlık görüntü almak ve ardından bunu kitaplığın savunmasız olmayan bir sürümüyle oluşturulan yeni bir sözleşmeye taşımaktır. Etkilenen sözleşmelerin nasıl azaltılacağına ilişkin özel bir araç ve eğitim:-nbsp; burada sağlanmıştır .
Thirdweb, sözleşme hafifletmelerini karşılamak için geriye dönük gaz hibeleri sunacağını söyledi - ancak kullanıcıların bunu yapması gerekiyor - nbsp; Onaylanmak için bir form doldurun
Doğal olarak uyarı, değerli NFT sahiplerinin endişelenmesine neden oldu ve büyük NFT ticaret platformları duruma zaten yanıt verdi.
Pazartesi günü yapılan bir duyuruda Coinbase NFT, güvenlik açığını geçen Cuma öğrendiğini ve bunun Thirdweb ile oluşturulan koleksiyonlarından bazılarını etkilediğini söyledi .
Kripto borsası platformu, "Coinbase'in kendisi bu sorundan etkilenmedi ve Coinbase'deki tüm fonlar güvende" diye ekledi.
Akıllı sözleşme geliştirme için OpenZeppelin kitaplığının yöneticileri de Thirdweb'in DropERC20, ERC721, ERC1155 (tüm sürümler) ve AirdropERC20 önceden oluşturulmuş sözleşme sürümlerini etkileyen sorun hakkında bilgilendirildi.
"Araştırmamıza göre, sorun belirli modellerin sorunlu entegrasyonundan kaynaklanmaktadır ve OpenZeppelin Sözleşmeleri kütüphanesinde yer alan uygulamalara özel DEĞİLDİR" - AçıkZeppelin
Animoca Brands ekosisteminin üyelik NFT koleksiyonu olan Mocaverse, kullanıcılarına varlıklarının güvende olduğu ve "ilgili güvenlik açığını kapatmak için Mocaverse NFT, Lucky Neko ve Mocaverse Relic koleksiyonu akıllı sözleşmelerini başarıyla yükselttiği" bilgisini de verdi.
Salı günü, mümkün olan tüm azaltma adımlarını uyguladıktan sonra Mocaverse, Animoca Brands yan şirketlerine, kullanıcılarının varlıklarının güvenliği için gerekli önlemleri almalarına izin vermeleri için potansiyel riskin sinyalini verdi.
"Realm Bileti ve Onursal Koleksiyon da dahil olmak üzere yükseltilemeyen sözleşmeler için, ilgili sözleşmeleri kilitledik ve tüm verilerin anlık görüntüsünü aldık ve daha sonra asıl sahiplerin, Thirdweb tabanlı önceki tutmalara dayalı olarak NFT'leri talep etmelerine izin vereceğiz. bilinen güvenlik açığı olmayan yeni bir akıllı sözleşme üzerinde" - Mocaverse
Benzer şekilde OpenSea'de de İlgili riskleri azaltmak ve etkilenen kullanıcılara yardımcı olmayı planlamak için Thirdweb ile yakın işbirliği içinde çalıştıklarını duyurdu .
