多个 NFT 集合因开源库缺陷而面临风险

--nbsp；

--nbsp；

--nbsp；

Web3 领域常见的开源库中的一个漏洞会影响预构建智能合约的安全性，从而影响包括 Coinbase 在内的多个 NFT 集合。

--nbsp；

今天早些时候，该消息来自 Web3 开发平台 Thirdweb。该公告提供了最少的细节，这激怒了一些希望得到澄清以帮助他们保护合同的用户。

--nbsp；

Thirdweb 表示它于 11 月 20 日意识到该安全漏洞，并在两天后推出了修复程序，但没有透露该库的名称以及漏洞的类型或严重性，以防止向攻击者泄露消息。

该公司表示，它已经——nbsp；联系了易受攻击的库的维护者，并向其他协议和组织通报了该问题，分享发现结果和缓解措施。

--nbsp；

以下智能合约受到该缺陷的影响：

AirdropERC20（v1.0.3 及更高版本）、ERC721（v1.0.4 及更高版本）、ERC1155（v1.0.4 及更高版本） ERC20Claimable、ERC721Claimable、ERC1155Claimable

BurnToClaimDropERC721（所有版本）

DropERC20、ERC721、ERC1155（所有版本）

会员卡

MarketplaceV3（所有版本）

Multiwrap、Multiwrap_OSRoyaltyFilter

OpenEditionERC721（v1.0.0 及更高版本）

打包和打包_OSRoyaltyFilter

TieredDrop（所有版本）

TokenERC20、ECRC721、ERC1155（所有版本）

SignatureDrop、SignatureDrop_OSRoyaltyFilter

分裂（低影响）

TokenStake、NFTStake、EditionStake（所有版本）

Thirdweb 解释说：“如果您使用我们的 Solidity SDK 来扩展我们的基础合约或构建自定义合约，我们不认为该漏洞会扩展到您的合约。”并补充说，这不是保证，因为他们“无法审核单个合约” ”。

Thirdweb 已与受影响库的维护人员分享了该漏洞的详细信息，并表示尚未发现该漏洞被用于攻击。

--nbsp；

--nbsp；

用户因缺乏透明度而感到不满

由于缺乏细节，一些用户要求澄清或——nbsp；推测--nbsp；问题出在该库的 Thirdweb 实现上。

一名用户抱怨缺乏透明度，要求提供漏洞的 CVE（常见漏洞和暴露）标识符并解释缓解措施的工作原理。

--nbsp；

锁定易受攻击的合约

Thirdweb 表示，智能合约所有者必须立即对太平洋时间 2023 年 11 月 22 日晚上 7 点之前创建的所有预构建合约采取缓解措施。

--nbsp；

建议锁定易受攻击的合约，拍摄快照，然后将其迁移到使用非易受攻击版本的库创建的新合约。有关如何减轻受影响合同的专用工具和教程是——nbsp；此处提供。

Thirdweb 表示，它将提供追溯天然气补助，以覆盖合同缓解措施——但用户必须——nbsp； 填写表格 以获得批准。

自然，这一警告引起了有价值的 NFT 持有者的担忧，大型 NFT 交易平台已经对此情况做出了反应。

在周一的公告中，  Coinbase NFT 表示，它于上周五获悉该漏洞，并影响了其使用 Thirdweb 创建的一些集合。

该加密货币交易平台补充道：“Coinbase 本身不受此问题的影响，Coinbase 上的所有资金都是安全的。”

用于智能合约开发的 OpenZeppelin 库的维护者也被告知影响 Thirdweb 版本的 DropERC20、ERC721、ERC1155（所有版本）和 AirdropERC20 预构建合约的问题。

Animoca Brands 生态系统的会员 NFT 集合 Mocaverse 也更新了其用户，他们的资产是安全的，并且它“成功升级了 Mocaverse NFT、Lucky Neko 和 Mocaverse Relic 集合智能合约，以修复相关的安全漏洞。”

周二，在尽可能采取所有缓解措施后，Mocaverse 向 Animoca Brands 子公司发出了潜在风险的信号，让他们采取必要措施来保护用户资产的安全。

同样，OpenSea 有——nbsp；宣布他们正在与 Thirdweb 密切合作，以降低所涉及的风险并计划帮助受影响的用户。