Une vulnérabilité dans une bibliothèque open source commune dans l'espace Web3 a un impact sur la sécurité des contrats intelligents prédéfinis, affectant plusieurs collections NFT, y compris Coinbase.

La divulgation est venue plus tôt dans la journée de la plateforme de développement Web3 Thirdweb. L'annonce fournit un minimum de détails, ce qui a contrarié certains utilisateurs qui souhaitaient des éclaircissements susceptibles de les aider à protéger leurs contrats.

Troisième Web dit qu'il a pris conscience de la faille de sécurité le 20 novembre et a proposé une correction deux jours plus tard, mais n'a pas divulgué le nom de la bibliothèque ni le type ou la gravité de la vulnérabilité pour empêcher d'avertir les attaquants.

L'entreprise affirme avoir contacté les responsables de la bibliothèque vulnérable et a également alerté d'autres protocoles et organisations du problème, partageant les résultats et les mesures d'atténuation.

Les contrats intelligents suivants sont concernés par la faille :

• AirdropERC20 (v1.0.3 et versions ultérieures), ERC721 (v1.0.4 et versions ultérieures), ERC1155 (v1.0.4 et versions ultérieures) ERC20Claimable, ERC721Claimable, ERC1155Claimable
• BurnToClaimDropERC721 (toutes les versions)
• DropERC20, ERC721, ERC1155 (toutes les versions)
• Carte de fidélité
• MarketplaceV3 (Toutes les versions)
• Multiwrap, Multiwrap_OSRoyaltyFilter
• OpenEditionERC721 (v1.0.0 et versions ultérieures)
• Pack et Pack_OSRoyaltyFilter
• TieredDrop (toutes les versions)
• TokenERC20, ECRC721, ERC1155 (toutes les versions)
• SignatureDrop, SignatureDrop_OSRoyaltyFilter
• Fractionné (faible impact)
• TokenStake, NFTStake, EditionStake (Toutes les versions)

« Si vous avez utilisé notre SDK Solidity pour étendre notre contrat de base ou créer un contrat personnalisé, nous ne pensons pas que la vulnérabilité s'étende à votre contrat », explique Thirdweb, ajoutant qu'il ne s'agit pas d'une garantie car ils « ne sont pas en mesure d'auditer les contrats individuels ». « .

Thirdweb a partagé les détails de l'exploit avec les responsables de la bibliothèque concernée et a déclaré qu'il n'avait pas vu la vulnérabilité exploitée dans les attaques.

Les utilisateurs mécontents du manque de transparence

L'absence de précisions a incité certains utilisateurs à demander des éclaircissements ou à spéculer que le problème vient de l'implémentation Thirdweb de la bibliothèque.

Un utilisateur s'est plaint du manque de transparence en demandant l'identifiant CVE (Common Vulnerabilities and Exposures) de la vulnérabilité et une explication du fonctionnement de l'atténuation.

Verrouiller les contrats vulnérables

Thirdweb a déclaré que les propriétaires de contrats intelligents doivent prendre immédiatement des mesures d'atténuation pour tous les contrats pré-construits créés avant le 22 novembre 2023 à 19 heures (heure du Pacifique).

Le conseil est de verrouiller les contrats vulnérables, de prendre un instantané, puis de le migrer vers un nouveau contrat créé avec une version non vulnérable de la bibliothèque. Un outil et un tutoriel dédiés sur la manière d'atténuer les contrats impactés sont disponibles. fourni ici.

Thirdweb a déclaré qu'il offrirait des subventions rétroactives pour le gaz pour couvrir les atténuations contractuelles, mais les utilisateurs doivent remplir un formulaire Doit être approuvé.

Naturellement, l’avertissement a inquiété les détenteurs de NFT de valeur et les grandes plateformes de trading NFT ont déjà réagi à la situation.

Dans une annonce lundi, Coinbase NFT a dit qu'elle a pris connaissance de la vulnérabilité vendredi dernier et qu'elle affecte certaines de ses collections créées avec Thirdweb.

« Coinbase lui-même n'est pas affecté par ce problème et tous les fonds sur Coinbase sont en sécurité », ajoute la plateforme d'échange de cryptomonnaies.

Les responsables de la bibliothèque OpenZeppelin pour le développement de contrats intelligents ont également été informés du problème affectant les versions Thirdweb de DropERC20, ERC721, ERC1155 (toutes les versions) et du contrat pré-construit AirdropERC20.

Mocaverse, la collection NFT d'adhésion pour l'écosystème Animoca Brands, a également informé ses utilisateurs que leurs actifs sont en sécurité et qu'il « a mis à niveau avec succès les contrats intelligents de la collection Mocaverse NFT, Lucky Neko et Mocaverse Relic pour combler la vulnérabilité de sécurité correspondante ».

Mardi, après avoir pris toutes les mesures d'atténuation possibles, Mocaverse a signalé le risque potentiel aux filiales d'Animoca Brands, afin de les laisser prendre les mesures nécessaires pour la sécurité des actifs de leurs utilisateurs.

De même, OpenSea a annoncé qu'ils travaillaient en étroite collaboration avec Thirdweb pour atténuer les risques impliqués et prévoir d'aider les utilisateurs concernés.