Açık kaynak kitaplığında Web3 alanında yaygın olan bir güvenlik açığı, önceden oluşturulmuş akıllı sözleşmelerin güvenliğini etkileyerek Coinbase de dahil olmak üzere birden fazla NFT koleksiyonunu etkiliyor.
Açıklama bugün erken saatlerde Web3 geliştirme platformu Thirdweb’den geldi. Duyuru, sözleşmeleri korumalarına yardımcı olabilecek açıklamalar isteyen bazı kullanıcıları rahatsız eden minimum düzeyde ayrıntı sağlıyor.
Thirdweb, 20 Kasım’da güvenlik açığının farkına vardığını ve iki gün sonra bir düzeltme için baskı yaptığını söyledi ancak saldırganların ihbarını önlemek için kütüphanenin adını ve güvenlik açığının türünü veya ciddiyetini açıklamadı.
Şirket sahip olduğunu söylüyor bakımcılarla temasa geçti Güvenlik açığı bulunan kütüphanenin durumu hakkında bilgi verdi ve diğer protokolleri ve kuruluşları da sorunla ilgili uyararak bulguları ve hafifletici önlemleri paylaştı.
Aşağıdaki akıllı sözleşmeler bu kusurdan etkilenmektedir:
- AirdropERC20 (v1.0.3 ve üzeri), ERC721 (v1.0.4 ve üzeri), ERC1155 (v1.0.4 ve üzeri) ERC20Talep Edilebilir, ERC721Talep Edilebilir, ERC1155Talep Edilebilir
- BurnToClaimDropERC721 (tüm sürümler)
- DropERC20, ERC721, ERC1155 (tüm versiyonlar)
- Sadakat kartı
- MarketplaceV3 (Tüm sürümler)
- Çoklu sarma, Çoklu sarma_OSRoyaltyFilter
- OpenEditionERC721 (v1.0.0 ve üzeri)
- Paketle ve Paketle_OSRoyaltyFilter
- TieredDrop (tüm sürümler)
- TokenERC20, ECRC721, ERC1155 (tüm versiyonlar)
- SignatureDrop, SignatureDrop_OSRoyaltyFilter
- Bölünmüş (düşük etki)
- TokenStake, NFTStake, EditionStake (Tüm sürümler)
Thirdweb, “Temel sözleşmemizi genişletmek veya özel bir sözleşme oluşturmak için Solidity SDK’mızı kullandıysanız, güvenlik açığının sözleşmenizi kapsadığına inanmıyoruz” diye açıklıyor ve bunun bir garanti olmadığını, çünkü “bireysel sözleşmeleri denetleyemediklerini” ekliyor “
Thirdweb, istismarın ayrıntılarını etkilenen kütüphanenin bakımcılarıyla paylaştı ve saldırılarda bu güvenlik açığından yararlanıldığını görmediğini söyledi.
Kullanıcılar şeffaflık eksikliğinden rahatsız
Ayrıntıların olmayışı, bazı kullanıcıların açıklama istemesine veya sorunun kütüphanenin Thirdweb uygulamasından kaynaklandığı yönünde spekülasyon yapmasına neden oldu.
Bir kullanıcı, güvenlik açığının CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) tanımlayıcısını ve azaltmanın nasıl çalıştığına dair bir açıklama isteyen şeffaflık eksikliğinden şikayetçi oldu.
Savunmasız sözleşmeleri kilitleyin
Thirdweb, akıllı sözleşme sahiplerinin 22 Kasım 2023 saat 19.00’dan (PT) önce oluşturulan tüm önceden oluşturulmuş sözleşmeler için derhal hafifletici önlemler alması gerektiğini söyledi.
Tavsiye, savunmasız sözleşmeleri kilitlemek, anlık görüntü almak ve ardından bunu kitaplığın savunmasız olmayan bir sürümüyle oluşturulan yeni bir sözleşmeye taşımaktır. Etkilenen sözleşmelerin nasıl azaltılacağına ilişkin özel bir araç ve eğitim burada sağlanmaktadır.
Thirdweb, sözleşme hafifletmelerini karşılamak için geriye dönük gaz hibeleri sunacağını ancak kullanıcıların onaylanması için bir form doldurması gerektiğini söyledi.
Doğal olarak uyarı, değerli NFT sahiplerinin endişelenmesine neden oldu ve büyük NFT ticaret platformları duruma zaten yanıt verdi.
Pazartesi günü yapılan duyuruda, Coinbase NFT dedi ki güvenlik açığını geçen Cuma öğrendiğini ve bunun Thirdweb ile oluşturulan bazı koleksiyonları etkilediğini söyledi.
Kripto borsası platformu, “Coinbase’in kendisi bu sorundan etkilenmedi ve Coinbase’deki tüm fonlar güvende” diye ekledi.
OpenZeppelin kütüphanesinin akıllı sözleşme geliştirme yöneticilerine, Thirdweb’in DropERC20, ERC721, ERC1155 (tüm sürümler) ve AirdropERC20 önceden oluşturulmuş sözleşme sürümlerini etkileyen sorun hakkında da bilgi verildi.
“Araştırmamıza göre, sorun belirli modellerin sorunlu entegrasyonundan kaynaklanmaktadır ve OpenZeppelin Sözleşmeleri kütüphanesinde yer alan uygulamalara özel DEĞİLDİR” – AçıkZeppelin
Animoca Brands ekosisteminin üyelik NFT koleksiyonu olan Mocaverse, kullanıcılarına varlıklarının güvende olduğu ve “ilgili güvenlik açığını kapatmak için Mocaverse NFT, Lucky Neko ve Mocaverse Relic koleksiyonu akıllı sözleşmelerini başarıyla yükselttiği” bilgisini de verdi.
Salı günü, mümkün olan tüm azaltma adımlarını uyguladıktan sonra Mocaverse, Animoca Brands’ın yan şirketlerine, kullanıcılarının varlıklarının güvenliği için gerekli önlemleri almalarına izin vermeleri için potansiyel riskin sinyalini verdi.
“Realm Bileti ve Onursal Koleksiyon da dahil olmak üzere yükseltilemeyen sözleşmeler için, ilgili sözleşmeleri kilitledik ve tüm verilerin anlık görüntüsünü aldık ve daha sonra asıl sahiplerin, Thirdweb tabanlı önceki tutmalara dayalı olarak NFT’leri talep etmelerine izin vereceğiz. bilinen güvenlik açığı olmayan yeni bir akıllı sözleşmeyle” – Mocaverse
Benzer şekilde OpenSea’nin de duyuruldu ilgili riskleri azaltmak ve etkilenen kullanıcılara yardımcı olmayı planlamak için Thirdweb ile yakın işbirliği içinde çalıştıklarını söyledi.