發布單位:TWCERT/CC 更新日期:2023-12-27
Web3 開發平台 ThirdWeb 旗下的開發人員,近日發現一個廣泛用於多個 Web3 服務的開源程式庫,含有一個漏洞,可能影響到多個 NFT 平台、智慧合約與收藏集的安全性。
ThirdWeb 指出,該公司在 2023 年 11 月 20 日時發現了該漏洞,並在 2 天後推送修正版本;但該公司並未對外公開是哪個開源程式庫內存有漏洞,也沒有透露該漏洞的嚴重性。在通報中僅揭露極少量的訊息,以免有駭侵者利用通報資訊來發動攻擊。
ThirdWeb 表示,該公司除了與含有此漏洞的開源程式庫維護人員聯絡外,也與可能受此漏洞影響的平台或服務業者分享所發現的漏洞。
受到該漏洞影響的智慧合約如下:
AirdropERC20 (v1.0.3 與後續版本)、ERC721 (v1.0.4 與後續版本)、 ERC1155 (v1.0.4 與後續版本) ERC20Claimable、ERC721Claimable、ERC1155Claimable
BurnToClaimDropERC721 (所有版本)
DropERC20、ERC721、ERC1155 (所有版本)
LoyaltyCard
MarketplaceV3 (所有版本)
Multiwrap、Multiwrap_OSRoyaltyFilter
OpenEditionERC721 (v1.0.0 與後續版本)
Pack 與 Pack_OSRoyaltyFilter
TieredDrop (所有版本)
TokenERC20、ECRC721、ERC1155 (所有版本)
SignatureDrop、SignatureDrop_OSRoyaltyFilter
Split (影響程度較低)
TokenStake、 NFTStake、 EditionStake (所有版本)
不過,一些 NFT 使用者抱怨這個漏洞資訊不夠透明,例如缺少 CVE 漏洞編號與如何解決的相關資訊;而 ThirdWeb 則表示所有在 2023 年 11 月 22 日美國太平洋時間晚間 7 點前製作的智慧合約,都應該立即針對該漏洞,以該公司提供的工具來進行應對處理。
NFT 平台或相關產品應檢視是否受該漏洞影響,並立即修補,以免因此漏洞造成損失。
