저명한 암호화폐 개발 플랫폼인 Thirdweb이 월요일 늦게 스마트 계약 관련 문제를 공개한 후 Ethereum NFT 프로젝트 의 일부 제작자들이 컬렉션을 확보하기 위해 안간힘을 쓰고 있습니다 .
Thirdweb은 " Web3 스마트 계약 에 일반적으로 사용되는 오픈 소스 라이브러리 "의 보안 취약점이 발견되었으며 이는 Thirdweb에서 제공하는 사전 구축된 계약에 영향을 미친다고 썼습니다. 스마트 계약에는 자율 분산 앱( 디앱(DApp) ) 및 NFT 컬렉션을 지원하는 코드가 포함되어 있습니다 .
취약점의 명백한 심각성으로 인해 Thirdweb은 어떤 오픈 소스 라이브러리가 공격의 근원이었는지 또는 공격이 수반하는 내용에 대한 세부 정보를 공개하지 않습니다. 스마트 계약을 위해 널리 사용되는 오픈 소스 라이브러리인 OpenZeppelin은 이 문제가 저장소와 관련이 없다고 밝혔습니다.
“우리 조사에 따르면 이 문제는 OpenZeppelin 계약 라이브러리에 포함된 구현에만 국한된 것이 아니라 특정 패턴의 통합 문제에 내재되어 있습니다 . 지역사회가 영향을 받고 완화 전략을 제공합니다.”
Thirdweb은 스마트 계약이 아직 악용되지 않았다고 생각하지만 프로젝트가 현재 스마트 계약을 잠그고 새 스마트 계약으로 마이그레이션한 다음 현재 보유자에게 토큰을 에어드롭하는 것을 포함하는 완화 프로세스를 수행할 것을 권장합니다. 회사는 영향을 받는 스마트 계약에서 보유자를 마이그레이션하는 것과 관련된 네트워크 수수료를 충당하는 데 도움이 될 것이라고 말했습니다.
Thirdweb에 따르면, 11월 20일에 계약 취약성을 인지하고 11월 22일에 사전 구축된 스마트 계약 템플릿에 대한 수정 사항을 출시했습니다. 결과적으로 11월 22일 오후 10시(ET) 이후에 배포된 모든 Thirdweb 스마트 계약은 안전하지만 그 이전에 배포된 시스템은 영향을 받을 수 있습니다.
이 익스플로잇은 Ethereum 이더리움 요청 사항(ERC)-721 및 이더리움 요청 사항(ERC) -1155 표준을 사용하는 NFT 스마트 계약뿐만 아니라 이더리움 요청 사항(ERC) -20 표준을 통해 발행된 대체 가능(fungible) 토큰과도 관련되어 있습니다. 영향을 받는 계약 유형의 전체 목록은 영향을 받는 계약을 식별할 수 있는 완화 도구 와 함께 Thirdweb의 블로그 게시물을 통해 확인할 수 있습니다.
많은 주요 업계 관계자들이 이 문제가 사용자, NFT 보유자 및 NFT 프로젝트 제작자에게 어떤 영향을 미칠 수 있는지에 대해 고민하기 위해 나섰습니다.
주요 NFT 시장인 OpenSea는 사용자가 "계약 마이그레이션과 관련된 OpenSea의 변경 사항과 관련하여 영향을 받는 컬렉션 소유자를 지원할 수 있는 방법에 대한 자세한 정보를 계속 지켜봐 주시기 바랍니다"라고 트윗했습니다. 또 다른 NFT 마켓플레이스인 Rarible은 자사 플랫폼의 일부 NFT 드롭이 이더리움 및 사이드체인 확장 네트워크 폴리곤(Polygon) 전반에 걸쳐 영향을 받는다고 말했습니다 .
코인베이스는 NFT 플랫폼에서 생성된 일부 컬렉션이 영향을 받았다고 밝혔고 , 스마트 계약 스타트업 매니폴드는 자체 계약은 영향을 받지 않았다고 말했습니다. 코인 베이스가 인큐베이션한 이더리움 레이어 2 확장 네트워크인 베이스(Base)도 베이스에서 활용되는 일부 프로젝트 계약이 영향을 받지만 네트워크 자체는 안전하다고 밝혔습니다.
PFP (이더리움 프로필 사진 ) 프로젝트 Cool Cats는 주요 NFT는 안전하지만 아바타 시스템 팩을 새로운 계약으로 마이그레이션할 것이라고 말했습니다. 한편, 애니모카 브랜즈 의 Mocaverse 게임 플랫폼은 다양한 NFT 컬렉션을 새로운 계약으로 마이그레이션했으며 보유자가 새 버전을 청구할 수 있도록 할 것이라고 밝혔습니다.
Thirdweb은 마이그레이션된 프로젝트에 대한 비용을 부담하는 것 외에도 버그 바운티 지급액을 25,000달러에서 50,000달러로 두 배로 늘렸고 앞으로는 "보다 엄격한 감사 프로세스"를 활용할 것이라고 밝혔습니다.
