Les créateurs d'Ethereum NFT se démènent pour sécuriser les projets contre l'exploit Thirdweb
Certains créateurs de projets Ethereum NFT se démènent pour sécuriser leurs collections après que Thirdweb, une importante plateforme de développement de cryptographie, ait révélé des problèmes avec ses contrats intelligents lundi soir.
Thirdweb a écrit qu'une vulnérabilité de sécurité dans une « bibliothèque open source couramment utilisée pour les contrats intelligents Web3 » a été découverte et qu'elle affecte les contrats prédéfinis proposés, entre autres, par Thirdweb. Les contrats intelligents contiennent le code qui alimente les applications décentralisées autonomes (dapps) et les collections NFT.
En raison de la gravité apparente de la vulnérabilité, Thirdweb ne divulgue pas quelle bibliothèque open source est à l'origine de l'exploit, ni de détails sur ce que l'exploit implique. OpenZeppelin, une bibliothèque open source largement utilisée pour les contrats intelligents, a depuis déclaré que le problème n'était pas lié à son référentiel.
« D'après notre enquête, le problème est inhérent à une intégration problématique de modèles spécifiques, et n'est pas spécifique aux implémentations contenues dans la bibliothèque OpenZeppelin Contracts », a-t-il tweeté, mais a ajouté qu'il continuerait de « diriger l'effort pour évaluer qui dans le communauté est affectée et leur fournir des stratégies d’atténuation.
IMPORTANT
Le 20 novembre 2023 à 18 heures PST, nous avons pris conscience d'une vulnérabilité de sécurité dans une bibliothèque open source couramment utilisée dans l'industrie du web3.
Cela affecte une variété de contrats intelligents dans l'écosystème web3, y compris certains des contrats intelligents prédéfinis de Thirdweb.…
– tiersweb (@thirdweb) 5 décembre 2023
Thirdweb a déclaré qu'il ne pensait pas qu'aucun contrat intelligent ait encore été exploité, mais il recommande que les projets entreprennent un processus d'atténuation qui comprend le verrouillage de leur contrat intelligent actuel et la migration vers un nouveau, puis le largage des jetons aux détenteurs actuels. La société a déclaré qu'elle aiderait à couvrir les frais de réseau associés à la migration des titulaires d'un contrat intelligent concerné.
Selon Thirdweb, l'entreprise a pris conscience de la vulnérabilité du contrat le 20 novembre et a déployé un correctif pour ses modèles de contrats intelligents prédéfinis le 22 novembre. En conséquence, tous les contrats intelligents Thirdweb déployés après 22 h HE le 22 novembre seraient être en sécurité, mais ceux déployés avant cette date pourraient être affectés.
L'exploit est lié aux contrats intelligents NFT qui utilisent les normes Ethereum ERC-721 et ERC-1155, mais également aux jetons fongibles émis via la norme ERC-20. Une liste complète des types de contrats concernés est disponible via le blog de Thirdweb, ainsi qu'un outil d'atténuation permettant d'identifier tout contrat concerné.
De nombreux acteurs majeurs de l'industrie se sont prononcés sur l'impact que le problème pourrait avoir sur leurs utilisateurs, les détenteurs de NFT et les créateurs de projets NFT.
Nous sommes en contact avec @thirdweb au sujet de la vulnérabilité de sécurité impactant certaines collections NFT. Restez à l'écoute pour plus d'informations sur la manière dont nous pouvons aider les propriétaires de collections concernés avec tout changement sur OpenSea lié à la migration du contrat. Veuillez lire le message de @thirdweb ci-dessous pour plus de détails. https://t.co/HU6bmXWU7U
– OpenSea (@opensea) 5 décembre 2023
Le principal marché NFT OpenSea a tweeté que les utilisateurs devraient « rester à l'écoute pour plus d'informations sur la façon dont nous pouvons aider les propriétaires de collections concernés avec tout changement sur OpenSea lié à la migration du contrat ». Rarible, un autre marché NFT, a déclaré que certaines baisses de NFT sur sa plate-forme sont également affectées sur Ethereum et le réseau de mise à l'échelle sidechain Polygon.
Coinbase a déclaré que certaines collections créées sur sa plate-forme NFT sont affectées, tandis que la startup de contrats intelligents Manifold a déclaré que ses propres contrats ne sont pas affectés. Base, le réseau de mise à l'échelle Ethereum de couche 2 incubé par Coinbase, a également déclaré que certains contrats de projet utilisés sur Base étaient affectés, mais que le réseau lui-même était sécurisé.
Moca Transparency Tuesday - TL;DR : Les Mocas sont SAFU, les fonds sont SAFU, les portefeuilles sont SAFU
Le 2 décembre à 11h17 HKT, nous avons été informés par @thirdweb, notre partenaire de développement de contrats intelligents pour les collections Mocaverse, qu'il était nécessaire d'effectuer une mise à jour de sécurité des contrats intelligents…
– Mocaverse💼🪐 (@MocaverseNFT) 5 décembre 2023
Le projet de photo de profil Ethereum (PFP), Cool Cats, a déclaré que même si ses principaux NFT sont sûrs, il migrera ses packs Avatar System vers un nouveau contrat. Pendant ce temps, la plate-forme de jeu Mocaverse d'Animoca Brands a déclaré qu'elle avait migré ses différentes collections NFT vers de nouveaux contrats et qu'elle permettrait aux détenteurs de réclamer les nouvelles versions.
En plus de couvrir les frais des projets migrés, Thirdweb a écrit qu'il avait doublé ses paiements de bug bounty, passant de 25 000 $ à 50 000 $, et qu'il utiliserait désormais « un processus d'audit plus rigoureux ».
