とみます(@20tomimasu)です。

 

discordのメンバーが教えてくれました。

thirdwebの脆弱性が指摘されているようで。

 

私も、スコ猫ちゃんNFTとして、thirdwebの独自コントラクトを使用していました。

内容を確認していきます。

 

thirdwebの脆弱性について

IMPORTANT

On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.

This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…

— thirdweb (@thirdweb) December 5, 2023

↑23年12月5日に、thirdwebの脆弱性について公開されており。

 

ざっくり、内容をメモしておくと、

• オープンソースライブラリに、セキュリティの脆弱性が発見された。
• 今のところ、悪用はされていない。
• 脆弱性のある対象は、2023年11月22日以前に、thirdwebで作ったスマートコントラクト。
• 脆弱性の有無を確認するためのサイトを用意した。(meatmask認証にて。)
• ただし、ステーキング機能などで、NFTなどをロックしている場合は、事前にアンロックしてからね。
• 詐欺サイトが流行するであろうから、URLを入念に確認すること。
• バグ報奨金は、25000～50000ドルに倍増。

とのこと。

 

おほー、

まあ、間違いなく、対象者やね。w

 

ということで、

Mitigationサイト? で確認してみた。

 

Contract Mitigation Tutorial (コントラクト救済方法)

 

公式ブログに、対処方法が書かれている。

＞＞Contract Mitigation Tutorial

 

早速、そのサイトの手順に従って、

• https://mitigate.thirdweb.com/

にアクセスすると。

 

↑必ず、URLを自分で確認しよう。

もっと言うと、公式ブログのリンクから行った方が安全だ。

 

対象となるスマコンのwalletにて、

メタマスク認証を済ますと…

 

 

はい、

• vulnerability (脆弱)

が表示され。w

 

案の定、対象だね。

右には、Lockと表示されており。

 

チュートリアル②に相当するパターンかな?

ロックして、新たにNFTを用意しろというもの…

 

まあ、けっこう酷いね。

NFTをゼロから再配布するとか…

本格派プロジェクトには相当な労力になりそうだ。

 

とりあえず、Lockを選択すると↓

 

おぉー、手順が表示され。

• ステップ1：この契約をロックします。
• ステップ2: 既存のトークン保有者をスナップショットします。
• ステップ3: スナップショットが設定された新しいDropERC1155Mコントラクトをデプロイします。
• ステップ4: トークン保有者がトークンを要求するためのパスを作成します。

 

なんだ、そのままデプロイできるのか。

ただ、量が多いと、ガス料金が高くなりそうだな…

 

とりあえず、ロック!

この認証は1回なので、格安、Matic!

 

↑次に、スナップショット‼

これは、無料でダウンロードできる。

 

中身は、各作品に対する、オーナーアドレスや数量など。

うー、見づらい…自分でオーナーベースで整理する必要がありそうだ。

 

次いで、1155Mでデプロイ‼

新しいスマコンが誕生したっぽい。(ここも1トランザクションで、格安MATIC!)

 

最後に…

↑エアドロする方法が2つあり。

• 1つ目は、私負担で、再配布。最低でも2.4MTAICだと!?
• 2つ目は、URLから、各保有者から申請してもらうというもの。(その場合、ガス料金は、保有者負担。)

 

100作品以上あって、2.4Maticで済むのか、思ったよりも安いじゃん。

このBackendwalletに送金すれば良いのかな? …送ると金額が反映されたので、合っているっぽい。

 

Start Airdropを選択できるようになったので、そのまま進めると…

再配布完了されたっぽく↓

↑ちなみに、送り過ぎたMATICは、返金させることも可能。

thirdwebの対応が神すぎやしないかい。逆にこの一件で惚れ直したわ。

 

ということで、救済完了‼

↑Doneと表示され。

あとは、エアドロが配布されているか、確認すればOKそうね。

 

他のスマコンもやっておこ。

うげ、イーサ高すぎ！とりあえず、Lockだけで良いかな…

 

おわりに

 

以上「thirdwebに脆弱性、スマコンのロック・救済・アプデ方法」でした。

 

思ったよりも、簡単でした。

thirdwebのUIとマニュアルが素晴らしい…!

 

新技術にバグは付きものなので、随時、アプデしていかないとですね。

お疲れ様でした、それでは、また。

 

新NISAで年100回の配当収入を得る方法

S&P500のようなインデックスに投資するだけでなく「個別銘柄への投資」にも興味がある方向けに。米国の配当投資専門家が書いたレポートを無料で貰えました。永久増配株とは、企業はなぜ増配するのか。配当に関わる情報を簡単に入手♪

メアド登録してもらう