多個 NFT 集合因開源庫缺陷而面臨風險

Web3 領域常見的開源庫中的一個漏洞會影響預先建置智慧合約的安全性，進而影響包括 Coinbase 在內的多個 NFT 集合。

今天早些時候，該消息來自 Web3 開發平台 Thirdweb。該公告提供了最少的細節，這激怒了一些希望得到澄清以幫助他們保護合約的用戶。

Thirdweb 表示它在 11 月 20 日意識到該安全漏洞，並在兩天後推出了修復程序，但沒有透露該庫的名稱以及漏洞的類型或嚴重性，以防止向攻擊者洩露訊息。

該公司表示，它已經——nbsp；聯繫了易受攻擊的庫的維護者，並向其他協議和組織通報了該問題，分享發現結果和緩解措施。

--nbsp；

以下智能合約受到此缺陷的影響：

AirdropERC20（v1.0.3 及更高版本）、ERC721（v1.0.4 及更高版本）、ERC1155（v1.0.4 及更高版本） ERC20Claimable、ERC721Claimable、ERC1155Claimable

BurnToClaimDropERC721（所有版本）

DropERC20、ERC721、ERC1155（所有版本）

會員卡

MarketplaceV3（所有版本）

Multiwrap、Multiwrap_OSRoyaltyFilter

OpenEditionERC721（v1.0.0 及更高版本）

打包和打包_OSRoyaltyFilter

TieredDrop（所有版本）

TokenERC20、ECRC721、ERC1155（所有版本）

SignatureDrop、SignatureDrop_OSRoyaltyFilter

分裂（低影響）

TokenStake、NFTStake、EditionStake（所有版本）

Thirdweb 解釋說：「如果您使用我們的Solidity SDK 來擴展我們的基礎合約或建立自訂合約，我們不認為漏洞會擴展到您的合約。」並補充說，這不是保證，因為他們「無法審核單一合約” ”。

Thirdweb 已與受影響庫的維護人員分享了該漏洞的詳細信息，並表示尚未發現該漏洞被用於攻擊。

--nbsp；

用戶因缺乏透明度而感到不滿

由於缺乏細節，一些用戶要求澄清或—nbsp;推測--nbsp；問題出在該函式庫的 Thirdweb 實作。

一名用戶抱怨缺乏透明度，要求提供漏洞的 CVE（常見漏洞和暴露）標識符並解釋緩解措施的工作原理。

鎖定易受攻擊的合約

Thirdweb 表示，智慧合約所有者必須立即對太平洋時間 2023 年 11 月 22 日晚上 7 點之前創建的所有預建合約採取緩解措施。

建議鎖定易受攻擊的合約，拍攝快照，然後將其遷移到使用非易受攻擊版本的庫創建的新合約。有關如何減輕受影響合約的專用工具和教學是－nbsp；此處提供。

Thirdweb 表示，它將提供追溯天然氣補助，以覆蓋合約緩解措施——但用戶必須——nbsp； 填寫表格 以獲得批准。

自然，這項警告引起了有價值的 NFT 持有者的擔憂，大型 NFT 交易平台已經對此情況做出了反應。

在周一的公告中，  Coinbase NFT 表示，它在上週五獲悉該漏洞，並影響了其使用 Thirdweb 創建的一些集合。

這個加密貨幣交易平台補充說：“Coinbase 本身不受此問題的影響，Coinbase 上的所有資金都是安全的。”

用於智慧合約開發的 OpenZeppelin 庫的維護者也被告知影響 Thirdweb 版本的 DropERC20、ERC721、ERC1155（所有版本）和 AirdropERC20 預先建立合約的問題。

Animoca Brands 生態系統的會員 NFT 集合 Mocaverse 也更新了其用戶，他們的資產是安全的，並且它“成功升級了 Mocaverse NFT、Lucky Neko 和 Mocaverse Relic 集合智能合約，以修復相關的安全漏洞。”

週二，在盡可能採取所有緩解措施後，Mocaverse 向 Animoca Brands 子公司發出了潛在風險的信號，讓他們採取必要措施來保護用戶資產的安全。

同樣，OpenSea 有－nbsp；宣布他們正在與 Thirdweb 密切合作，以降低所涉及的風險並計劃幫助受影響的用戶。