Провідна платформа для розробників Web3 Thirdweb нещодавно виявив серйозну вразливість безпеки в широко використовуваній бібліотеці з відкритим кодом, що впливає на попередньо зібрану розумні контракти і кілька колекцій NFT. Це відкриття викликало занепокоєння в спільноті Web3.
Швидке реагування та спільні зусилля
Thirdweb підтвердив, що, наскільки їм відомо, ця вразливість не використовувалася в проектах, які використовують смарт-контракти. Однак вони підкреслили, що власникам розумних контрактів необхідно вживати конкретних дій щодо певних попередньо створених контрактів, розроблених на Thirdweb, щоб запобігти можливому зловживанню.
Thirdweb виявив уразливість 20 листопада, що впливає на її попередньо створені смарт-контракти, включно з OpenSea та Платформа Coinbase NFT. OpenSea визнала проблему та сказала: «Стежте за оновленнями, щоб дізнатися більше про те, як ми можемо допомогти власникам колекцій, які постраждали, із будь-якими змінами в OpenSea, пов’язаними з міграцією контракту».
Coinbase NFT також відреагувала на вразливість безпеки, отримавши інформацію 1 грудня про пошкоджені колекції на своїй платформі. Вони сказали: «Відповідно до графіка розкриття інформації thirdweb, ми приурочили до 22 листопада 2023 року звернення до будівельників, які, можливо, розгорнули зазначені контракти».
Обидва Відкрите море і Coinbase NFT також запевнили своїх користувачів, що на їхніх відповідних платформах не було порушень безпеки, і клієнти можуть бути впевнені в безпеці своїх коштів. Крім того, мережа рівня 2 Base заявила, що вразливість впливає на деякі попередньо створені контракти Thirdweb, розгорнуті на Base; однак «Ця проблема не впливає на саму базу. Усі кошти на базі безпечні».
Усунення вразливостей і забезпечення безпеки користувачів
Вирішуючи проблему вразливості безпеки смарт-контракту, Thirdweb поділився оголошення із заходами, які необхідно вжити для постраждалих. Вони кажуть: «Нашим безпосереднім пріоритетом є захист наших клієнтів, які постраждали від цієї вразливості. Користувачі, які розгорнули один із цих готових смарт-контрактів, які зазнали впливу, за допомогою інформаційної панелі або пакетів SDK від thirdweb до 22 листопада о 19:00 за тихоокеанським стандартним часом, повинні виконати деякі кроки для пом’якшення наслідків».
Щоб усунути цю вразливість, Thirdweb рекомендує відповідним власникам смарт-контрактів блокувати свої контракти, робити знімки та переходити до нових контрактів. OpenSea та Coinbase NFT взяли на себе зобов’язання підтримувати власників колекцій під час виконання цих кроків пом’якшення.
Цей інцидент є важливим нагадуванням про необхідність пильності та оперативних дій у вирішенні проблем безпеки в умовах швидкої зміни Web3 і NFT.