Web3 alanı arasında yaygın olan açık kaynaklı bir kütüphanede bir güvenlik açığı, önceden oluşturulmuş akıllı sözleşmelerin güvenliğini etkiler ve Coinbase dahil olmak üzere birden fazla NFT koleksiyonunu etkilemektedir.
Açıklama bugün daha erken geldi Web3 geliştirme platformu ÜçüncüWeb'den geldi. Duyuru, sözleşmeleri korumalarına yardımcı olabilecek açıklamalar isteyen bazı kullanıcıları rahatsız eden minimum ayrıntı sağlar.
Thirdweb, 20 Kasım'da güvenlik kusurunun farkına vardığını ve iki gün sonra bir iyileştirmeyi zorladığını, ancak kütüphanenin adını ve saldırganların devrilmesini önlemek için güvenlik açığının türünü veya şiddetini açıklamadığını söyledi.
Şirket, savunmasız kütüphanenin bakımcılarıyla temasa geçtiğini ve ayrıca bulguları ve hafifletmeleri paylaşarak konunun diğer protokollerini ve organizasyonlarını uyardığını söyledi.
Aşağıdaki akıllı sözleşmeler kusurdan etkilenmektedir:
ÜçüncüWeb, "Soğuk SDK'ımızı temel sözleşmemizi genişletmek veya özel bir sözleşme oluşturmak için kullandıysanız, kırılganlığın sözleşmenize uzandığına inanmıyoruz" diye açıklıyor, bunun bir garanti olmadığı için "bireysel sözleşmeleri denetleyemedikleri için bir garanti olmadığını da ekliyor . "
ThirdWeb, istismarın ayrıntılarını etkilenen kütüphanenin bakımcılarıyla paylaştı ve güvenlik açığının saldırılarda kullanıldığını görmediğini söyledi.
Ayrıntıların olmaması, bazı kullanıcıları açıklamalar istemeye veya sorunun kütüphanenin üçüncüWeb uygulamasıyla ilgili olduğunu düşünmeye teşvik etti.
Bir kullanıcı, güvenlik açığının CVE (ortak güvenlik açıkları ve maruziyetler) tanımlayıcısını ve hafifletmenin nasıl çalıştığına dair bir açıklama isteyen şeffaflık eksikliğinden şikayet etti.
Thirdweb, akıllı sözleşme sahiplerinin 22 Kasım 2023'ten önce saat 19: 00'da oluşturulan tüm önceden oluşturulmuş tüm sözleşmeler için hemen hafifletme önlemleri almaları gerektiğini söyledi.
Tavsiye, savunmasız sözleşmeleri kilitlemek, bir anlık görüntü almak ve daha sonra kütüphanenin vulnerning edilemeyen bir sürümüyle oluşturulan yeni bir sözleşmeye göç etmektir. Etkilenen sözleşmelerin nasıl hafifletileceğine dair özel bir araç ve öğretici burada verilmiştir.
ThirdWeb, sözleşmenin hafifletillarını karşılamak için geriye dönük gaz hibeleri sunacağını, ancak kullanıcıların onaylanacak bir formu doldurmaları gerektiğini söyledi.
Doğal olarak, uyarı değerli NFT'lerin sahiplerinin endişelenmesine neden oldu ve büyük NFT ticaret platformları duruma zaten yanıt verdi.
Pazartesi günü yaptığı açıklamada, Coinbase NFT geçen Cuma günü kırılganlığı öğrendiğini ve üçüncüWeb ile oluşturulan bazı koleksiyonlarını etkilediğini söyledi.
Kripto değişim platformu, "Coinbase'in kendisi bu konudan etkilenmiyor ve Coinbase'deki tüm fonlar güvenli."
Akıllı sözleşme geliştirme için Openzeppelin Kütüphanesi'nin anaatinleri de ÜçüncüWeb'in DroperC20, ERC721, ERC1155 (tüm sürümler) ve AirDroperc20 önceden oluşturulmuş sözleşmelerinin sürümlerini etkileyen konu hakkında bilgilendirildi.
"Soruşturmamıza dayanarak, konu belirli kalıpların sorunlu bir entegrasyonunun doğasında var ve Openzeppelin Sözleşmeleri Kütüphanesinde yer alan uygulamalara özel değil" - OpenZeppelin
Animoca Brands ekosistemi için NFT koleksiyonu olan MoCaverse, kullanıcılarına varlıklarının güvenli olduğunu ve "Mocacverse NFT, Lucky Neko ve Mocacverse Relic Collection Smart Sözleşmelerini ilgili güvenlik açığını kapatmak için başarıyla yükselttiğini" güncelledi.
Salı günü, mümkün olduğunca tüm hafifletme adımlarını yaptıktan sonra, Mocacverse, AnimoCa markaları iştirak şirketleri için potansiyel riski işaret etti ve kullanıcılarının varlıklarının güvenliği için gerekli önlemleri almalarına izin verdi.
"Diyar bileti ve fahri koleksiyon da dahil olmak üzere yükseltilemeyen sözleşmeler için, ilgili sözleşmeleri kilitledik ve tüm verilerin bir anlık görüntüsünü aldık ve daha sonra orijinal sahiplerin NFT'lerin ÜçüncüWeb tabanlı olarak önceki holdinge dayanarak talep etmelerini sağlayacak Bilinen güvenlik açığı olmadan yeni bir akıllı sözleşmede " - Mocacerse
Benzer şekilde, Opensea, ilgili riskleri azaltmak ve etkilenen kullanıcılara yardımcı olmayı planlamak için ÜçüncüWeb ile yakın bir şekilde çalıştıklarını açıkladı.
99 bin kurbandan 60 milyon dolar çalmak için istismar edilen Ethereum özelliği
Yeni MacOS 'Kandykorn' Kötü Yazılım Hedefleri Kripto para birimi mühendisleri
WordPress, Web sitelerini açığa çıkaran pop zincirini RCE saldırılarına düzeltiyor
Rusya, fidye yazılımı çeteleri tarafından kullanılan kripto değişimini yürütmekten suçlu
Atlassian yamaları Kritik RCE kusurları birden çok ürün boyunca
Kaynak: Bleeping Computer