【NFT】thirdweb（2023年11月22日以前に作成したコントラクト限定）に脆弱性が見つかりました【緊急】

はじめましてのヒトは、はじめまして。
いつもの皆様、こんにちわ。
大葉さんです。

前回のお話

緊急アナウンスです。

早急に関係者に周知を行う必要があるので、速報で記事を出します。随時アップデートしていくかと思いますが、ご了承ください。

なぜこの記事を書いたのか？

12月5日にthirdwebが発表した、スマートコントラクトの脆弱性と、対応方法について、共有するためです。

■詳細

公式X（旧Twitter）

IMPORTANT

On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.

This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…

— thirdweb (@thirdweb) December 5, 2023

Dear community, over the last 48 hours, we have seen significant progress made in mitigating this vulnerability.

Our tool has helped successfully mitigate over 8,000 smart contracts across 43 chains, and our teams are working nonstop to support smart contract owners through the… https://t.co/pRSQkmaeNM

— thirdweb (@thirdweb) December 7, 2023

公式Blog

Smart contract security vulnerability 12/4

■影響を受けるユーザー

2023年11月22日19:00(PT)→日本時間2023年11月22日02:00
以前に、ThirdWebでスマートコントラクトを作成した方。具体的には、独コンを作成した方々、全員です。

購入しただけの方は、基本的には影響がありません。しかしながら「保有者が何らかの流動性でロックされたトークンを持っている場合またはステーキングプールの場合」は、購入者側にrevokeを依頼するケースもあるようです。ケースバイケースです。

■対応方法

下記公式ブログサイトをPCで開き（自動翻訳で良いので）概要を読んだ上で、対策のためのURLへジャンプしてください。以後は指示に従います。

Smart contract security vulnerability 12/4

上記サイトからのジャンプ以外の場合、不正なサイトに誘導される危険性があります。X（旧Twitter）の公式ツイートからのジャンプも安心できないので、必ず上記から。

＜2023年12月6日7時30分追記＞

公式ブログにて、マイグレーションツールの使い方ガイドが公開されています。

Contract Mitigation Tutorial

繰り返しになりますが、必ず公式の１次情報を確認してください。不正なサイトに誘導されると、２次被害が広がります。

■脆弱性の詳細、質問等

上記公式ブログサイトに記載のある、メールアドレスでのみ、受け付けています。誤った情報は拡散したくないので、このnoteには記載しません。

■ガス代の一部負担（ThirdWebからの返金）について

＜2023年12月6日7時30分追記＞

公式ブログに書かれたリンク先のフォームから申請。必要な前提条件は以下のようです。

・氏名
・NFTコレクションに関するWebサイト
・NFTのサービス概要説明
・Lock後にsnapshot→新規Contractでデプロイする

申請却下されるかもしれませんが、念のため、スナップショットは撮っておきましょう。

■重要度

OpenSea公式が（ある意味ライバル会社であるはずの）本脆弱性に触れ、連携していることを表明しているレベルです。重要度はかなり高いと推測できます。

We are in touch with @thirdweb about the security vulnerability impacting some NFT collections. Stay tuned for more info on how we can assist affected collection owners with any changes on OpenSea tied to contract migration. Please read @thirdweb’s post below for more detail. https://t.co/HU6bmXWU7U

— OpenSea (@opensea) December 5, 2023

＜2023年12月6日7時30分追記＞

2023年12月5日時点では、この脆弱性による攻撃は報告されておらず、「どのような脆弱性なのかを詳細に説明すると、愉快犯が攻撃を開始する可能性がある」為、詳細が公開されることはないです（逆に脆弱性の詳細を公開するような会社であれば、私はthirdwebを見限っていました）

＜2023年12月7日13時40分追記＞

今回の脆弱性を使って、2件の攻撃が発生したことを確認したと、公式よりアナウンスがありました。あわせて、脆弱性の詳細については、ある程度、事態が落ち着いたのちに正式に公開するとの宣言もありました。

＜2023年12月11日9時55分追記＞

12月8日に、脆弱性の詳細が公開されました。

Security Vulnerability Incident Report 12/8

Arbitrary Address Spoofing Attack: ERC2771Context Multicall Public Disclosure

＜2023年12月13日9時20分追記＞

12月12日以降、thirdwebのX（旧Twitter）のTOP固定が外され、Postも通常の運用に戻った為、本脆弱性に対するアナウンスは全て公開済みとなったようです。

■その他のNFT作成系サービスについて

＜2023年12月6日7時30分追記＞

We have investigated the disclosure by @thirdweb and concluded that Manifold contracts are not impacted.

There are no issues or vulnerability with any Manifold contacts. https://t.co/Do2ORkOOD2

— manifold.xyz (@manifoldxyz) December 5, 2023

The OpenZeppelin team was informed yesterday Monday (12/4) at 4pm ET by @thirdweb about a security vulnerability involved in but not limited to Thirdweb’s versions of DropERC20, ERC721, ERC1155 (all versions), and AirdropERC20 pre-built contracts.

As far as we know, this…

— OpenZeppelin (@OpenZeppelin) December 5, 2023

---

以上です。
でわでわでわ〜

---

次のお話