Várias coleções de NFT estão em risco por falha em biblioteca de código aberto
6 de Dezembro de 2023

Uma vulnerabilidade em uma biblioteca de código aberto comum em todo o espaço Web3 afeta a segurança de contratos inteligentes pré-construídos, afetando várias coleções de NFT, incluindo a Coinbase.

A divulgação veio mais cedo hoje da plataforma de desenvolvimento Web3, a Thirdweb.

O anúncio fornece um mínimo de detalhes, o que irritou alguns usuários que queriam esclarecimentos que poderiam ajudá-los a proteger os contratos.

A Thirdweb disse que tomou conhecimento da falha de segurança em 20 de novembro e promoveu uma remediação dois dias depois, mas não divulgou o nome da biblioteca e o tipo ou gravidade da vulnerabilidade para evitar alertar os invasores.

A empresa diz que entrou em contato com os mantenedores da biblioteca vulnerável e também alertou outros protocolos e organizações sobre o problema, compartilhando descobertas e mitigação.

Os seguintes contratos inteligentes são afetados pela falha:

AirdropERC20 (v1.0.3 e posterior), ERC721 (v1.0.4 e posterior), ERC1155 (v1.0.4 e posterior) ERC20Claimable, ERC721Claimable, ERC1155Claimable
BurnToClaimDropERC721 (todas as versões)
DropERC20, ERC721, ERC1155 (todas as versões)
LoyaltyCard
MarketplaceV3 (Todas as versões)
Multiwrap, Multiwrap_OSRoyaltyFilter
OpenEditionERC721 (v1.0.0 e posterior)
Pack e Pack_OSRoyaltyFilter
TieredDrop (todas as versões)
TokenERC20, ECRC721, ERC1155 (todas as versões)
SignatureDrop, SignatureDrop_OSRoyaltyFilter
Split (baixo impacto)
TokenStake, NFTStake, EditionStake (Todas as versões)


"Se você usou nosso SDK de Solidity para expandir nosso contrato base ou construiu um contrato personalizado, não acreditamos que a vulnerabilidade se estenda ao seu contrato", explica a Thirdweb, acrescentando que isso não é uma garantia porque eles "não são capazes de auditar contratos individuais."

A Thirdweb compartilhou os detalhes do exploit com os mantenedores da biblioteca afetada e disse que não viu a vulnerabilidade sendo explorada em ataques.

A ausência de detalhes levou alguns usuários a pedir esclarecimentos ou a especular que o problema está na implementação da biblioteca pelo Thirdweb.

Um usuário reclamou da falta de transparência, pedindo o identificador CVE (Common Vulnerabilities and Exposures) da vulnerabilidade e uma explicação de como a mitigação funciona.

A Thirdweb disse que os proprietários de contratos inteligentes devem tomar medidas de mitigação imediatamente para todos os contratos pré-construídos criados antes de 22 de novembro de 2023, às 19h PT.

O conselho é bloquear os contratos vulneráveis, tirar uma foto e, em seguida, migrá-lo para um novo contrato criado com uma versão não vulnerável da biblioteca.

Uma ferramenta dedicada e tutorial sobre como mitigar contratos impactados são fornecidos aqui.

A Thirdweb disse que ofereceria concessões de gás retroativas para cobrir as mitigações de contratos, mas os usuários teriam que preencher um formulário para serem aprovados.

Naturalmente, o aviso fez com que os detentores de NFTs valiosos se preocupassem e grandes plataformas de negociação de NFT já responderam à situação.

Em um anúncio na segunda-feira, a Coinbase NFT disse que soube da vulnerabilidade na sexta-feira passada e que afeta algumas de suas coleções criadas com a Thirdweb.

"A própria Coinbase não é afetada por este problema e todos os fundos na Coinbase estão seguros", acrescenta a plataforma de troca de criptomoedas.

Os mantenedores da biblioteca OpenZeppelin para o desenvolvimento de contratos inteligentes também foram informados do problema que afeta as versões do Thirdweb's de DropERC20, ERC721, ERC1155 (todas as versões) e o contrato pré-construído AirdropERC20.

Mocaverse, a coleção NFT de associação para o ecossistema de marcas Animoca, também atualizou seus usuários de que seus ativos estão seguros e que "atualizou com sucesso os contratos inteligentes da coleção Mocaverse NFT, Lucky Neko e Mocaverse Relic para fechar a vulnerabilidade de segurança relevante."

Na terça-feira, depois de realizar todas as etapas de mitigação possíveis, Mocaverse sinalizou o risco potencial para as subsidiárias da Animoca Brands, para que eles tomassem as medidas necessárias para a segurança dos ativos de seus usuários.

Da mesma forma, OpenSea anunciou que estava trabalhando de perto com a Thirdweb para mitigar os riscos envolvidos e planeja auxiliar os usuários afetados.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...