Πολλαπλές συλλογές NFT σε κίνδυνο λόγω ελαττώματος στη βιβλιοθήκη ανοιχτού κώδικα

By

Marizas Dimitris

On

Δεκ 6, 2023

Μια ευπάθεια σε μια βιβλιοθήκη ανοιχτού κώδικα που είναι κοινή στον χώρο του

Web3

επηρεάζει την ασφάλεια των προκατασκευασμένων έξυπνων συμβολαίων, επηρεάζοντας πολλές συλλογές NFT, συμπεριλαμβανομένου του Coinbase.

Η

αποκάλυψη

έγινε νωρίτερα σήμερα από την πλατφόρμα ανάπτυξης Web3 Thirdweb. Η ανακοίνωση παρέχει ελάχιστες λεπτομέρειες, γεγονός που εξόργισε ορισμένους χρήστες που ήθελαν διευκρινίσεις που θα μπορούσαν να τους βοηθήσουν να προστατεύσουν τις συμβάσεις.

Τρίτος Ιστός

είπε

ότι αντιλήφθηκε το ελάττωμα ασφαλείας στις 20 Νοεμβρίου και προώθησε μια

επα

νόρθωση δύο ημέρες αργότερα, αλλά δεν αποκάλυψε το όνομα της βιβλιοθήκης και τον τύπο ή τη σοβαρότητα της ευπάθειας για να αποτρέψει την ενημέρωση των εισβολέων.

Η εταιρεία λέει ότι έχει

επικοινώνησε με τους συντηρητές

της ευάλωτης βιβλιοθήκης και επίσης ειδοποίησε άλλα πρωτόκολλα και οργανισμούς για το θέμα, κοινοποιώντας ευρήματα και μετριασμούς.

Τα ακόλουθα έξυπνα συμβόλαια επηρεάζονται από το ελάττωμα:

AirdroPERC20 (v1.0.3 και νεότερη έκδοση), ERC721 (v1.0.4 και νεότερη έκδοση), ERC1155 (v1.0.4 και νεότερη έκδοση) ERC20Claimable, ERC721Claimable, ERC1155Claimable
BurnToClaimDropERC721 (όλες οι εκδόσεις)
DropERC20, ERC721, ERC1155 (όλες οι εκδόσεις)
LoyaltyCard
MarketplaceV3 (Όλες οι εκδόσεις)
Multiwrap, Multiwrap_OSRoyaltyFilter
OpenEditionERC721 (έκδοση 1.0.0 και νεότερη έκδοση)
Pack

και Pack_OSRoyaltyFilter
TieredDrop (όλες οι εκδόσεις)
TokenERC20, ECRC721, ERC1155 (όλες οι εκδόσεις)
SignatureDrop, SignatureDrop_OSRoyaltyFilter
Διαίρεση (χαμηλό αντίκτυπο)
TokenStake, NFTStake, EditionStake (Όλες οι εκδόσεις)

“Εάν χρησιμοποιήσατε το Solidity SDK για να επεκτείνετε το βασικό μας συμβόλαιο ή δημιουργήσατε ένα προσαρμοσμένο συμβόλαιο, δεν πιστεύουμε ότι η ευπάθεια επεκτείνεται και στο συμβόλαιό σας”, εξηγεί η Thirdweb, προσθέτοντας ότι αυτό δεν αποτελεί εγγύηση επειδή “δεν μπορούν να ελέγξουν μεμονωμένα συμβόλαια .”

Η Thirdweb μοιράστηκε τις λεπτομέρειες του exploit με τους συντηρητές της επηρεαζόμενης βιβλιοθήκης και είπε ότι δεν έχει δει την ευπάθεια να αξιοποιείται σε επιθέσεις.

Οι χρήστες αναστατώνονται από την έλλειψη διαφάνειας

Η απουσία λεπτομερειών ώθησε ορισμένους χρήστες να ζητήσουν διευκρινίσεις ή να ζητήσουν διευκρινίσεις

σκέπτομαι

ότι το θέμα είναι με την υλοποίηση του Thirdweb της βιβλιοθήκης.

Ένας χρήστης παραπονέθηκε για την έλλειψη διαφάνειας ζητώντας το αναγνωριστικό CVE (Common Vulnerabilities and Exposures) της ευπάθειας και μια εξήγηση για το πώς λειτουργεί ο μετριασμός.

Πολλαπλές συλλογές NFT σε κίνδυνο λόγω ελαττώματος στη βιβλιοθήκη ανοιχτού κώδικα, Πολλαπλές συλλογές NFT σε κίνδυνο λόγω ελαττώματος στη βιβλιοθήκη ανοιχτού κώδικα, TechWar.gr — **Ο χρήστης παραπονιέται για την έλλειψη λεπτομερειών στην αποκάλυψη ευπάθειας του Thirdweb**

*πηγή: nuri*

Κλείδωμα ευάλωτων συμβάσεων

Η Thirdweb είπε ότι οι ιδιοκτήτες έξυπνων συμβολαίων πρέπει να λάβουν άμεσα μέτρα μετριασμού για όλα τα προκατασκευασμένα συμβόλαια που έχουν δημιουργηθεί πριν από τις 22 Νοεμβρίου 2023, στις 7 μ.μ. PT.

Η συμβουλή είναι να κλειδώσετε τα ευάλωτα συμβόλαια, να τραβήξετε ένα στιγμιότυπο και, στη συνέχεια, να το μετεγκαταστήσετε σε ένα νέο συμβόλαιο που δημιουργήθηκε με μια μη ευάλωτη έκδοση της βιβλιοθήκης. Ένα ειδικό εργαλείο και σεμινάριο για τον μετριασμό των συμβάσεων που επηρεάζονται είναι

παρέχεται εδώ

.

Η Thirdweb είπε ότι θα προσφέρει αναδρομικές επιχορηγήσεις φυσικού αερίου για την κάλυψη μετριασμού των συμβολαίων, αλλά οι χρήστες πρέπει να

συμπληρώστε μια φόρμα

να εγκριθεί.

Φυσικά, η προειδοποίηση έχει προκαλέσει ανησυχία στους κατόχους πολύτιμων NFT και μεγάλες πλατφόρμες συναλλαγών NFT έχουν ήδη ανταποκριθεί στην κατάσταση.

Σε ανακοίνωση της Δευτέρας,

είπε η Coinbase NFT

ότι έμαθε για την ευπάθεια την περασμένη Παρασκευή και ότι επηρεάζει ορισμένες από τις συλλογές της που δημιουργήθηκαν με το Thirdweb.

«Η ίδια η Coinbase δεν επηρεάζεται από αυτό το ζήτημα και όλα τα κεφάλαια στο Coinbase είναι ασφαλή», προσθέτει η πλατφόρμα ανταλλαγής

κρυπτο

νομισμάτων.

Οι συντηρητές της βιβλιοθήκης OpenZeppelin για την ανάπτυξη έξυπνων συμβολαίων ενημερώθηκαν επίσης για το ζήτημα που επηρεάζει τις εκδόσεις της Thirdweb των DropERC20, ERC721, ERC1155 (όλες οι εκδόσεις) και το προκατασκευασμένο συμβόλαιο AirdroPERC20.

“Βάσει της έρευνάς μας, το ζήτημα είναι εγγενές σε μια προβληματική ενσωμάτωση συγκεκριμένων προτύπων και ΟΧΙ ιδιαίτερα στις υλοποιήσεις που περιέχονται στη βιβλιοθήκη OpenZeppelin Contracts” –

OpenZeppelin

Η Mocaverse, η συλλογή NFT μέλους για το οικοσύστημα Animoca Brands, ενημέρωσε επίσης τους χρήστες της ότι τα περιουσιακά τους στοιχεία είναι ασφαλή και ότι “αναβάθμισε με επιτυχία τα έξυπνα συμβόλαια συλλογής Mocaverse NFT, Lucky Neko και Mocaverse Relic για να κλείσει τη σχετική ευπάθεια ασφαλείας”.

Την Τρίτη, αφού διεξήγαγε όλα τα μέτρα μετριασμού όπου ήταν δυνατόν, η Mocaverse σηματοδότησε τον πιθανό κίνδυνο στις θυγατρικές εταιρείες της Animoca Brands, ώστε να τις αφήσει να λάβουν τα απαραίτητα μέτρα για την ασφάλεια των περιουσιακών στοιχείων των χρηστών τους.

“Για τα συμβόλαια που δεν μπορούν να αναβαθμιστούν, συμπεριλαμβανομένου του Realm Ticket και της Honorary Collection, κλειδώσαμε τα σχετικά συμβόλαια και τραβήξαμε μια στιγμιότυπο όλων των δεδομένων και στη συνέχεια θα επιτρέψουμε στους αρχικούς κατόχους να διεκδικήσουν τα NFT βάσει προηγούμενης κατοχής μέσω του Thirdweb based σε ένα νέο έξυπνο συμβόλαιο χωρίς τη γνωστή ευπάθεια” –

Mocaverse

Ομοίως, το OpenSea έχει

ανακοινώθηκε

ότι συνεργάζονταν στενά με την Thirdweb για να μετριάσουν τους κινδύνους και σχεδιάζουν να βοηθήσουν τους επηρεαζόμενους χρήστες.

VIA:

bleepingcomputer.com

Παρόμοια άρθρα