thirdwebに脆弱性が見つかった件

英語のメールは基本無視しているのだけど、

今日thirdwebからのメールが来てて、タイトルに important　とあったので、

何かいつもと違う気配を感じてXを覗いてみたら、

thirdwebのコントラクトに脆弱性が見つかったとのこと。

その時点でいくつかのプロジェクトは対応が済んでいたようで。

具体的な対応は以下のとおり。

• thirdwebが提示するリンクから、各自コントラクトに脆弱性があるかチェックする。
• 脆弱性がある場合、コントラクトをLockする。
• 新しくコントラクトをデプロイして、元のホルダーにエアドロップする

と、簡単に言ってくれますが、

デプロイにもエアドロップにも相応のガス代（と手間）がかかるわけで、

ガス代は負担してくれるような情報もあるけど全員に対処できるとも思えない。

どうなるんだろうね。。

とりあえず、自分が担当するコントラクトをチェックする。

元のポストは↓

IMPORTANT

On November 20th, 2023 6pm PST, we became aware of a security vulnerability in a commonly used open-source library in the web3 industry.

This impacts a variety of smart contracts across the web3 ecosystem, including some of thirdweb’s pre-built smart contracts.…

— thirdweb (@thirdweb) 2023年12月5日

ポストから診断ツールにジャンプする。

t.co

そこでウォレットに接続してみると。。。

あぼーん

Vulnerable（脆弱）の文字が。

このまま強引に運用しても、何かあったら資産が無くなりかねないし、

ホルダーさんにも迷惑がかかるので、Lockの一択。

• Lockすると、スケジュールがクリアされる。
• メタデータは凍結する。
• コレクション名に「Locked」がつく

ちょっと待って、相当リスキーな行動を軽率にさせようとしてないか？？？？

Lockしてデプロイ、エアドロ済の情報もあるにはあるけど、

そこまで慌ててやらないといけないことなのか。

個人のコレクションでもないので、決行していいものか確認しないと。

というわけで、個人のテストで作ったコントラクトがあったのを思い出したので、

実行してみる。

「Lock Contract」をクリック

ここでガス代がかかる。

Lock完了

「Capture snapshot」でスナップショット取得

安全なコントラクトをデプロイ

「Deploy Contract」でデプロイ

ここでもガス代発生

エアドロップ

旧コントラクトのNFTホルダーに、新コントラクトのNFTをエアドロップする

「AirdropTool」は↓の「Start Airdrop」で配布が始まる？

「Shareable claim page」はこれまでのようにClaim設定ページから配布する？

「Airdrop tool」で配布したいのだが、

「Start Airdrop」ボタンが押せない。

ガス代を肩代わりしてくれるウォレットがBackend Wallet Addressで、

そこに入っている額が「Backend Wallet Balance」で０になっている。

「Minimum Balance Required」以上入っていないと実行できないっぽい。

「Withdraw Funds」で補充できるようだが、押しても実行できない。。

同じ時間帯に同じ作業をしている方が多いと、常にウォレットがカラになってしまう？

どうにも進めないので一旦ここまで！