按 Enter 到主內容區
:::

TWCERT-電子報

:::

Web3 泛用開源程式庫漏洞,可能造成多個 NFT 收藏集遭攻擊

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-12-27
  • 點閱次數:207
Web3_泛用開源程式庫漏洞,可能造成多個_NFT_收藏集遭攻擊

Web3 開發平台 ThirdWeb 旗下的開發人員,近日發現一個廣泛用於多個 Web3 服務的開源程式庫,含有一個漏洞,可能影響到多個 NFT 平台、智慧合約與收藏集的安全性。

ThirdWeb 指出,該公司在 2023  年 11 月 20 日時發現了該漏洞,並在 2 天後推送修正版本;但該公司並未對外公開是哪個開源程式庫內存有漏洞,也沒有透露該漏洞的嚴重性。在通報中僅揭露極少量的訊息,以免有駭侵者利用通報資訊來發動攻擊。

ThirdWeb 表示,該公司除了與含有此漏洞的開源程式庫維護人員聯絡外,也與可能受此漏洞影響的平台或服務業者分享所發現的漏洞。

受到該漏洞影響的智慧合約如下:

  • AirdropERC20 (v1.0.3 與後續版本)、ERC721 (v1.0.4 與後續版本)、 ERC1155 (v1.0.4 與後續版本) ERC20Claimable、ERC721Claimable、ERC1155Claimable
  • BurnToClaimDropERC721 (所有版本)
  • DropERC20、ERC721、ERC1155 (所有版本)
  • LoyaltyCard
  • MarketplaceV3 (所有版本)
  • Multiwrap、Multiwrap_OSRoyaltyFilter
  • OpenEditionERC721 (v1.0.0 與後續版本)
  • Pack 與 Pack_OSRoyaltyFilter
  • TieredDrop (所有版本)
  • TokenERC20、ECRC721、ERC1155 (所有版本)
  • SignatureDrop、SignatureDrop_OSRoyaltyFilter
  • Split (影響程度較低)
  • TokenStake、 NFTStake、 EditionStake (所有版本)

不過,一些 NFT 使用者抱怨這個漏洞資訊不夠透明,例如缺少 CVE 漏洞編號與如何解決的相關資訊;而  ThirdWeb 則表示所有在 2023 年 11 月 22 日美國太平洋時間晚間 7 點前製作的智慧合約,都應該立即針對該漏洞,以該公司提供的工具來進行應對處理。

NFT 平台或相關產品應檢視是否受該漏洞影響,並立即修補,以免因此漏洞造成損失。

回頁首