Une faille frappe les NFT. Après plusieurs mois d’accalmie, le marché des NFT semble reprendre des couleurs. Malheureusement, une vulnérabilité dans les systèmes de Thridweb pourrait bien gâcher la fête pour de nombreuses collections de NFT.
Thirdweb dévoile une vulnérabilité qui menace les NFT
Thirdweb est une boîte à outils à destination des développeurs du Web3. Parmi ses services, la plateforme propose des outils qui permettent de créer, déployer et interagir avec un smart contract.
Cependant, ce matin, Thirdweb a annoncé avoir détecté une vulnérabilité dans l’une de ses librairies open source.
« Cela a un impact sur une variété de contrats intelligents à travers l’écosystème web3, y compris certains des contrats intelligents préconstruits de thirdweb. »
A déclaré Thirdweb sur X.
En pratique, il semblerait que les smart contrats préconstruits de type DropERC20, ERC721, ERC1155 et AirdropERC20 sont impactés par la faille.
« Notre priorité immédiate est de protéger nos clients impactés par cette vulnérabilité. Si vous avez déployé l’un de ces contrats intelligents préconstruits en utilisant le tableau de bord ou les SDK de thirdweb avant le 22 novembre, vous devez effectuer certaines étapes pour atténuer l’exploitation potentielle de la vulnérabilité. »
Heureusement, il semblerait que jusqu’à présent cette faille n’ait pas été exploitée par un hacker.
Un processus de migration complexe
Pour les collections de NFT affecté, la suite des évènements risque d’être particulièrement contraignante.
Ainsi, si le contrat présente la faille, les développeurs vont devoir effectuer plusieurs actions. Ils devront ainsi le verrouiller, prendre un snapshot, puis migrer vers un nouveau contrat qui ne présente pas la faille. Enfin, ils pourront redistribuer les NFT.
Pire encore, les utilisateurs ayant déposé leurs NFT dans des pools de liquidités doivent impérativement les retirer pour rester éligibles après la migration de contrat. Une situation délicate pour de nombreuses collections, qui vont devoir s’assurer qu’aucun NFT ne soit perdu en chemin.
Une faille à l’impact large
Rapidement, de nombreux noms de l’écosystème ont annoncé être affectés par la faille. Dans un premier temps, Base, le L2 de Coinbase :
« L’équipe de Base a été informée à 21h PT vendredi (12/1) par @thirdweb d’une faille de sécurité dans une bibliothèque open-source commune, qui a un impact sur certains de leurs contrats pré-construits déployés sur Base. Base elle-même n’est pas affectée par ce problème – tous les fonds sur la Base sont en sécurité. »
A annoncé Base sur X.
Suivi d’OpenSea, qui a annoncé qu’elle assistait dans la migration les projets impactés.
Espérons que Thirdweb aura autant de chance qu’Aave, et que la faille ne sera pas exploitée. En effet, le protocole Aave a récemment découvert une faille. Celle-ci a pu être corrigée avant qu’elle ne soit exploitée par un hacker.
