Plusieurs collections NFT menacées par une faille dans une bibliothèque open source

Une vulnérabilité dans une bibliothèque open source commune dans l'espace Web3 a un impact sur la sécurité des contrats intelligents prédéfinis, affectant plusieurs collections NFT, y compris Coinbase.

La divulgation est venue plus tôt dans la journée de la plateforme de développement Web3 Thirdweb. L'annonce fournit un minimum de détails, ce qui a contrarié certains utilisateurs qui souhaitaient des éclaircissements susceptibles de les aider à protéger leurs contrats.

Troisième Web dit qu'il a pris conscience de la faille de sécurité le 20 novembre et a proposé une correction deux jours plus tard, mais n'a pas divulgué le nom de la bibliothèque ni le type ou la gravité de la vulnérabilité pour empêcher d'avertir les attaquants.

L'entreprise affirme avoir contacté les responsables de la bibliothèque vulnérable et a également alerté d'autres protocoles et organisations du problème, partageant les résultats et les mesures d'atténuation.

Publicité

Les contrats intelligents suivants sont concernés par la faille :

  • AirdropERC20 (v1.0.3 et versions ultérieures), ERC721 (v1.0.4 et versions ultérieures), ERC1155 (v1.0.4 et versions ultérieures) ERC20Claimable, ERC721Claimable, ERC1155Claimable
  • BurnToClaimDropERC721 (toutes les versions)
  • DropERC20, ERC721, ERC1155 (toutes les versions)
  • Carte de fidélité
  • MarketplaceV3 (Toutes les versions)
  • Multiwrap, Multiwrap_OSRoyaltyFilter
  • OpenEditionERC721 (v1.0.0 et versions ultérieures)
  • Pack et Pack_OSRoyaltyFilter
  • TieredDrop (toutes les versions)
  • TokenERC20, ECRC721, ERC1155 (toutes les versions)
  • SignatureDrop, SignatureDrop_OSRoyaltyFilter
  • Fractionné (faible impact)
  • TokenStake, NFTStake, EditionStake (Toutes les versions)

« Si vous avez utilisé notre SDK Solidity pour étendre notre contrat de base ou créer un contrat personnalisé, nous ne pensons pas que la vulnérabilité s'étende à votre contrat », explique Thirdweb, ajoutant qu'il ne s'agit pas d'une garantie car ils « ne sont pas en mesure d'auditer les contrats individuels ». « .

Thirdweb a partagé les détails de l'exploit avec les responsables de la bibliothèque concernée et a déclaré qu'il n'avait pas vu la vulnérabilité exploitée dans les attaques.

Les utilisateurs mécontents du manque de transparence

L'absence de précisions a incité certains utilisateurs à demander des éclaircissements ou à spéculer que le problème vient de l'implémentation Thirdweb de la bibliothèque.

Un utilisateur s'est plaint du manque de transparence en demandant l'identifiant CVE (Common Vulnerabilities and Exposures) de la vulnérabilité et une explication du fonctionnement de l'atténuation.

Utilisateur se plaignant du manque de transparence de Thirdweb
L'utilisateur se plaint du manque de détails dans la divulgation de vulnérabilité de Thirdweb source : Nuri

Verrouiller les contrats vulnérables

Thirdweb a déclaré que les propriétaires de contrats intelligents doivent prendre immédiatement des mesures d'atténuation pour tous les contrats pré-construits créés avant le 22 novembre 2023 à 19 heures (heure du Pacifique).

Le conseil est de verrouiller les contrats vulnérables, de prendre un instantané, puis de le migrer vers un nouveau contrat créé avec une version non vulnérable de la bibliothèque. Un outil et un tutoriel dédiés sur la manière d'atténuer les contrats impactés sont disponibles. fourni ici.

Thirdweb a déclaré qu'il offrirait des subventions rétroactives pour le gaz pour couvrir les atténuations contractuelles, mais les utilisateurs doivent remplir un formulaire Doit être approuvé.

Naturellement, l’avertissement a inquiété les détenteurs de NFT de valeur et les grandes plateformes de trading NFT ont déjà réagi à la situation.

Dans une annonce lundi, Coinbase NFT a dit qu'elle a pris connaissance de la vulnérabilité vendredi dernier et qu'elle affecte certaines de ses collections créées avec Thirdweb.

« Coinbase lui-même n'est pas affecté par ce problème et tous les fonds sur Coinbase sont en sécurité », ajoute la plateforme d'échange de cryptomonnaies.

Les responsables de la bibliothèque OpenZeppelin pour le développement de contrats intelligents ont également été informés du problème affectant les versions Thirdweb de DropERC20, ERC721, ERC1155 (toutes les versions) et du contrat pré-construit AirdropERC20.

« D'après notre enquête, le problème est inhérent à une intégration problématique de modèles spécifiques, et NON particulier aux implémentations contenues dans la bibliothèque OpenZeppelin Contracts » – OuvrirZeppelin

Mocaverse, la collection NFT d'adhésion pour l'écosystème Animoca Brands, a également informé ses utilisateurs que leurs actifs sont en sécurité et qu'il « a mis à niveau avec succès les contrats intelligents de la collection Mocaverse NFT, Lucky Neko et Mocaverse Relic pour combler la vulnérabilité de sécurité correspondante ».

Mardi, après avoir pris toutes les mesures d'atténuation possibles, Mocaverse a signalé le risque potentiel aux filiales d'Animoca Brands, afin de les laisser prendre les mesures nécessaires pour la sécurité des actifs de leurs utilisateurs.

« Pour les contrats qui ne peuvent pas être mis à niveau, y compris le Realm Ticket et Honorary Collection, nous avons verrouillé les contrats concernés et pris un instantané de toutes les données, et permettra ensuite aux détenteurs d'origine de réclamer les NFT sur la base de leur détention précédente via Thirdweb basé sur Thirdweb. sur un nouveau contrat intelligent sans la vulnérabilité connue » – Mocavers

De même, OpenSea a annoncé qu'ils travaillaient en étroite collaboration avec Thirdweb pour atténuer les risques impliqués et prévoir d'aider les utilisateurs concernés.

5/5 - (36 votes)
Publicité
Article précédentCette application Google Play permet aux utilisateurs d'Android de découvrir la joie des bulles bleues lorsqu'ils envoient des SMS avec des iPhones
Article suivantGuide God of War Ragnarok pour devenir un vrai guerrier
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici