Ведущая платформа для разработчиков Web3 Третья паутина недавно обнаружил серьезную уязвимость безопасности в широко используемой библиотеке с открытым исходным кодом, влияющую на предварительно созданные смарт-контракты и несколько коллекций NFT. Это открытие вызвало обеспокоенность в сообществе Web3.
Оперативное реагирование и совместные усилия
Thirdweb подтвердила, что, насколько им известно, в проектах, использующих их смарт-контракты, не было случаев эксплуатации этой уязвимости. Тем не менее, они подчеркнули, что владельцам смарт-контрактов необходимо предпринять конкретные действия в отношении некоторых готовых контрактов, разработанных на Thirdweb, чтобы предотвратить возможное злоупотребление.
Компания Thirdweb обнаружила уязвимость 20 ноября, затрагивающую предварительно созданные смарт-контракты, в том числе на OpenSea и Платформа Coinbase NFT. OpenSea признала наличие проблемы и заявила: «Оставайтесь с нами, чтобы получить дополнительную информацию о том, как мы можем помочь затронутым владельцам коллекций с любыми изменениями в OpenSea, связанными с миграцией контрактов».
Coinbase NFT также отреагировала на уязвимость безопасности, получив 1 декабря информацию о затронутых коллекциях на своей платформе. Они сказали: «В соответствии с графиком раскрытия информации Thirdweb, мы запланировали обратиться к строителям, которые, возможно, задействовали затронутые контракты, до 22 ноября 2023 года».
Оба Открытое море и Coinbase NFT также заверили своих пользователей, что на их платформах не произошло никаких нарушений безопасности, и клиенты могут оставаться уверенными в безопасности своих средств. Кроме того, в сетевой базе уровня 2 заявили, что уязвимость затрагивает некоторые предварительно созданные контракты Thirdweb, развернутые на базе; однако «саму базу эта проблема не затрагивает. Все средства на базе в безопасности».
Устранение уязвимостей и обеспечение безопасности пользователей
Решая проблему уязвимости безопасности смарт-контрактов, компания Thirdweb поделилась объявление с шагами, которые следует предпринять для пострадавших. Они говорят: «Нашим непосредственным приоритетом является защита наших клиентов, пострадавших от этой уязвимости. Пользователям, которые развернули один из этих затронутых предварительно созданных смарт-контрактов с помощью панели инструментов Thirdweb или SDK до 22 ноября в 19:00 по тихоокеанскому времени, необходимо выполнить некоторые шаги по смягчению последствий».
Чтобы устранить эту уязвимость, Thirdweb рекомендует затронутым владельцам смарт-контрактов блокировать свои контракты, делать снимки и переходить к новым контрактам. OpenSea и Coinbase NFT обязались поддерживать владельцев коллекций при выполнении этих мер по смягчению последствий.
Этот инцидент служит важнейшим напоминанием о необходимости бдительности и оперативных действий при решении проблем безопасности в быстро меняющейся среде Web3 и NFT.