В Web3 обнаружена уязвимость в широко используемой библиотеке с открытым исходным кодом, которая оказывает воздействие на безопасность предварительно созданных смарт-контрактов, включая несколько коллекций NFT, в том числе и на платформе Coinbase. Это объявление сделала компания разработки Web3 Thirdweb, хотя детали уязвимости были предоставлены минимальные, что вызвало беспокойство среди пользователей, желающих получить дополнительные разъяснения для обеспечения безопасности своих контрактов.

Thirdweb заявляет, что они обнаружили уязвимость 20 ноября и предложили исправление через два дня. Однако, они не раскрыли название библиотеки, а также тип и серьезность уязвимости, чтобы избежать предупреждения злоумышленников. Они утверждают, что уже связались с сопровождающими уязвимой библиотеки и предупредили другие протоколы и организации, предоставив свои выводы и предложения по устранению проблемы.

Уязвимость затрагивает несколько видов смарт-контрактов, включая AirdropERC20, ERC721, ERC1155, BurnToClaimDropERC721, DropERC20, ERC721, ERC1155, DiscountCard, TradingPlatformV3, Multiwrap_OSRoyaltyFilter, OpenEditionERC721, Pack_OSRoyaltyFilter, TieredDrop, TokenERC20, ECRC721, ERC1155, SignatureDrop, NFTStake, EditionStake и другие.

Thirdweb рекомендует владельцам смарт-контрактов немедленно предпринять меры для смягчения последствий для всех контрактов, созданных до 22 ноября 2023 года. Рекомендуется блокировать уязвимые контракты, сделать снимок, а затем перенести его на новый контракт, созданный с использованием обновленной версии библиотеки.

Пользователи выразили свое недовольство отсутствием подробностей и прозрачности. Один из пользователей запросил идентификатор уязвимости CVE и подробное объяснение процесса устранения. Thirdweb предложила ретроактивные гранты на газ для покрытия расходов по устранению уязвимости, при условии, что пользователи предоставят соответствующую информацию.

Это предупреждение также повлияло на владельцев ценных NFT, и крупные торговые платформы NFT, такие как Coinbase и OpenSea, уже приняли меры по смягчению рисков и обеспечению безопасности активов пользователей. OpenZeppelin, разработчики другой библиотеки для смарт-контрактов, также были проинформированы о проблеме и указали, что она не связана с реализацией их библиотеки.

Таким образом, сообщество Web3 активно реагирует на обнаруженную уязвимость, предпринимая шаги для ее устранения и обеспечения безопасности смарт-контрактов и активов пользователей.