Uma vulnerabilidade em uma biblioteca de código aberto comum em todo o espaço Web3 afeta a segurança de contratos inteligentes pré-construídos, afetando várias coleções de NFT, incluindo a Coinbase.
A divulgação veio mais cedo hoje da plataforma de desenvolvimento Web3, a Thirdweb.
O anúncio fornece um mínimo de detalhes, o que irritou alguns usuários que queriam esclarecimentos que poderiam ajudá-los a proteger os contratos.
A Thirdweb disse que tomou conhecimento da falha de segurança em 20 de novembro e promoveu uma remediação dois dias depois, mas não divulgou o nome da biblioteca e o tipo ou gravidade da vulnerabilidade para evitar alertar os invasores.
A empresa diz que entrou em contato com os mantenedores da biblioteca vulnerável e também alertou outros protocolos e organizações sobre o problema, compartilhando descobertas e mitigação.
Os seguintes contratos inteligentes são afetados pela falha:
AirdropERC20 (v1.0.3 e posterior), ERC721 (v1.0.4 e posterior), ERC1155 (v1.0.4 e posterior) ERC20Claimable, ERC721Claimable, ERC1155Claimable
BurnToClaimDropERC721 (todas as versões)
DropERC20, ERC721, ERC1155 (todas as versões)
LoyaltyCard
MarketplaceV3 (Todas as versões)
Multiwrap, Multiwrap_OSRoyaltyFilter
OpenEditionERC721 (v1.0.0 e posterior)
Pack e Pack_OSRoyaltyFilter
TieredDrop (todas as versões)
TokenERC20, ECRC721, ERC1155 (todas as versões)
SignatureDrop, SignatureDrop_OSRoyaltyFilter
Split (baixo impacto)
TokenStake, NFTStake, EditionStake (Todas as versões)
"Se você usou nosso SDK de Solidity para expandir nosso contrato base ou construiu um contrato personalizado, não acreditamos que a vulnerabilidade se estenda ao seu contrato", explica a Thirdweb, acrescentando que isso não é uma garantia porque eles "não são capazes de auditar contratos individuais."
A Thirdweb compartilhou os detalhes do exploit com os mantenedores da biblioteca afetada e disse que não viu a vulnerabilidade sendo explorada em ataques.
A ausência de detalhes levou alguns usuários a pedir esclarecimentos ou a especular que o problema está na implementação da biblioteca pelo Thirdweb.
Um usuário reclamou da falta de transparência, pedindo o identificador CVE (Common Vulnerabilities and Exposures) da vulnerabilidade e uma explicação de como a mitigação funciona.
A Thirdweb disse que os proprietários de contratos inteligentes devem tomar medidas de mitigação imediatamente para todos os contratos pré-construídos criados antes de 22 de novembro de 2023, às 19h PT.
O conselho é bloquear os contratos vulneráveis, tirar uma foto e, em seguida, migrá-lo para um novo contrato criado com uma versão não vulnerável da biblioteca.
Uma ferramenta dedicada e tutorial sobre como mitigar contratos impactados são fornecidos aqui.
A Thirdweb disse que ofereceria concessões de gás retroativas para cobrir as mitigações de contratos, mas os usuários teriam que preencher um formulário para serem aprovados.
Naturalmente, o aviso fez com que os detentores de NFTs valiosos se preocupassem e grandes plataformas de negociação de NFT já responderam à situação.
Em um anúncio na segunda-feira, a Coinbase NFT disse que soube da vulnerabilidade na sexta-feira passada e que afeta algumas de suas coleções criadas com a Thirdweb.
"A própria Coinbase não é afetada por este problema e todos os fundos na Coinbase estão seguros", acrescenta a plataforma de troca de criptomoedas.
Os mantenedores da biblioteca OpenZeppelin para o desenvolvimento de contratos inteligentes também foram informados do problema que afeta as versões do Thirdweb's de DropERC20, ERC721, ERC1155 (todas as versões) e o contrato pré-construído AirdropERC20.
Mocaverse, a coleção NFT de associação para o ecossistema de marcas Animoca, também atualizou seus usuários de que seus ativos estão seguros e que "atualizou com sucesso os contratos inteligentes da coleção Mocaverse NFT, Lucky Neko e Mocaverse Relic para fechar a vulnerabilidade de segurança relevante."
Na terça-feira, depois de realizar todas as etapas de mitigação possíveis, Mocaverse sinalizou o risco potencial para as subsidiárias da Animoca Brands, para que eles tomassem as medidas necessárias para a segurança dos ativos de seus usuários.
Da mesma forma, OpenSea anunciou que estava trabalhando de perto com a Thirdweb para mitigar os riscos envolvidos e planeja auxiliar os usuários afetados.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...