Une vulnérabilité dans une bibliothèque open source commune dans l’espace Web3 a un impact sur la sécurité des contrats intelligents prédéfinis, affectant plusieurs collections NFT, y compris Coinbase.
La divulgation est venue plus tôt dans la journée de la plateforme de développement Web3 Thirdweb. L’annonce fournit un minimum de détails, ce qui a contrarié certains utilisateurs qui souhaitaient des éclaircissements susceptibles de les aider à protéger leurs contrats.
Thirdweb a déclaré avoir pris conscience de la faille de sécurité le 20 novembre et avoir proposé une solution deux jours plus tard, mais n’a pas divulgué le nom de la bibliothèque ni le type ou la gravité de la vulnérabilité afin d’empêcher d’avertir les attaquants.
La société affirme avoir contacté les responsables de la bibliothèque vulnérable et avoir également alerté d’autres protocoles et organisations du problème, partageant ainsi ses conclusions et ses mesures d’atténuation.
Les contrats intelligents suivants sont concernés par la faille :
- AirdropERC20 (v1.0.3 et versions ultérieures), ERC721 (v1.0.4 et versions ultérieures), ERC1155 (v1.0.4 et versions ultérieures) ERC20Claimable, ERC721Claimable, ERC1155Claimable
- BurnToClaimDropERC721 (toutes les versions)
- DropERC20, ERC721, ERC1155 (toutes les versions)
- Carte de fidélité
- MarketplaceV3 (Toutes les versions)
- Multiwrap, Multiwrap_OSRoyaltyFilter
- OpenEditionERC721 (v1.0.0 et versions ultérieures)
- Pack et Pack_OSRoyaltyFilter
- TieredDrop (toutes les versions)
- TokenERC20, ECRC721, ERC1155 (toutes les versions)
- SignatureDrop, SignatureDrop_OSRoyaltyFilter
- Fractionné (faible impact)
- TokenStake, NFTStake, EditionStake (Toutes les versions)
« Si vous avez utilisé notre SDK Solidity pour étendre notre contrat de base ou créer un contrat personnalisé, nous ne pensons pas que la vulnérabilité s’étende à votre contrat », explique Thirdweb, ajoutant qu’il ne s’agit pas d’une garantie car ils « ne sont pas en mesure d’auditer les contrats individuels ». « .
Thirdweb a partagé les détails de l’exploit avec les responsables de la bibliothèque concernée et a déclaré qu’il n’avait pas vu la vulnérabilité exploitée dans les attaques.
Les utilisateurs mécontents du manque de transparence
L’absence de détails a incité certains utilisateurs à demander des éclaircissements ou à spéculer que le problème vient de l’implémentation Thirdweb de la bibliothèque.
Un utilisateur s’est plaint du manque de transparence en demandant l’identifiant CVE (Common Vulnerabilities and Exposures) de la vulnérabilité et une explication du fonctionnement de l’atténuation.
Verrouiller les contrats vulnérables
Thirdweb a déclaré que les propriétaires de contrats intelligents doivent prendre immédiatement des mesures d’atténuation pour tous les contrats pré-construits créés avant le 22 novembre 2023 à 19 heures (heure du Pacifique).
Le conseil est de verrouiller les contrats vulnérables, de prendre un instantané, puis de le migrer vers un nouveau contrat créé avec une version non vulnérable de la bibliothèque. Un outil et un didacticiel dédiés sur la manière d’atténuer les contrats impactés sont fournis ici.
Thirdweb a déclaré qu’il offrirait des subventions rétroactives pour le gaz pour couvrir les atténuations du contrat, mais les utilisateurs doivent remplir un formulaire pour être approuvés.
Naturellement, l’avertissement a inquiété les détenteurs de NFT de valeur et les grandes plateformes de trading NFT ont déjà réagi à la situation.
Dans une annonce lundi, Coinbase NFT a déclaré avoir pris connaissance de la vulnérabilité vendredi dernier et qu’elle affecte certaines de ses collections créées avec Thirdweb.
« Coinbase lui-même n’est pas affecté par ce problème et tous les fonds sur Coinbase sont en sécurité », ajoute la plateforme d’échange de cryptomonnaies.
Les responsables de la bibliothèque OpenZeppelin pour le développement de contrats intelligents ont également été informés du problème affectant les versions Thirdweb de DropERC20, ERC721, ERC1155 (toutes les versions) et du contrat pré-construit AirdropERC20.
« D’après notre enquête, le problème est inhérent à une intégration problématique de modèles spécifiques, et NON particulier aux implémentations contenues dans la bibliothèque OpenZeppelin Contracts » – OpenZeppelin
Mocaverse, la collection NFT d’adhésion pour l’écosystème Animoca Brands, a également informé ses utilisateurs que leurs actifs sont en sécurité et qu’il « a mis à niveau avec succès les contrats intelligents de la collection Mocaverse NFT, Lucky Neko et Mocaverse Relic pour combler la vulnérabilité de sécurité correspondante ».
Mardi, après avoir pris toutes les mesures d’atténuation possibles, Mocaverse a signalé le risque potentiel aux filiales d’Animoca Brands, afin de les laisser prendre les mesures nécessaires pour la sécurité des actifs de leurs utilisateurs.
« Pour les contrats qui ne peuvent pas être mis à niveau, y compris le Realm Ticket et Honorary Collection, nous avons verrouillé les contrats concernés et pris un instantané de toutes les données, et permettra ensuite aux détenteurs d’origine de réclamer les NFT sur la base de leur détention précédente via Thirdweb basé sur Thirdweb. sur un nouveau contrat intelligent sans la vulnérabilité connue » – Mocaverse
De même, OpenSea a annoncé qu’elle travaillait en étroite collaboration avec Thirdweb pour atténuer les risques encourus et prévoir d’aider les utilisateurs concernés.