Джилл Гантер, співзасновниця Espresso, повідомила в четвер, що її криптогаманець було спустошено через вразливість у контракті Thirdweb, згідно з заявами, опублікованими в соціальних мережах.
Резюме
- Ветеран криптовалюти Джилл Гантер повідомила про крадіжку понад 30 000 доларів у USDC з її гаманця, який був спустошений 9 грудня і перенаправлений через Railgun.
- Вразливість походила від застарілого контракту Thirdweb, який дозволяв доступ до коштів з необмеженими дозволами на токени.
- Інцидент стався після окремої вразливості бібліотеки з відкритим кодом 2023 року, яка вплинула на понад 500 контрактів токенів і була використана щонайменше 25 разів, згідно з ScamSniffer.
Гантер, яку описують як 10-річного ветерана криптовалютної індустрії, сказала, що з її гаманця було вкрадено понад 30 000 доларів у стейблкоїні USDC. Кошти були переведені до протоколу конфіденційності Railgun, коли вона готувала презентацію про конфіденційність криптовалют для заходу у Вашингтоні, округ Колумбія, згідно з її розповіддю.
У наступному дописі Гантер детально описала розслідування крадіжки. Транзакція, яка спустошила її адресу jrg.eth, відбулася 9 грудня, а токени були переміщені на адресу днем раніше в очікуванні фінансування ангельських інвестицій, запланованих на той тиждень, заявила вона.
Хоча токени були переведені з jrg.eth на іншу адресу, ідентифіковану як 0xF215, транзакція показала взаємодію контракту з 0x81d5, згідно з аналізом Гантер. Вона ідентифікувала вразливий контракт як міст Thirdweb, який вона раніше використовувала для переказу 5 доларів.
Thirdweb повідомив Гантер, що вразливість була виявлена в контракті мосту в квітні, повідомила вона. Вразливість дозволяла будь-кому отримати доступ до коштів користувачів, які схвалили необмежені дозволи на токени. З того часу контракт був позначений як скомпрометований на Etherscan, оглядачі блокчейну.
Гантер заявила, що не знає, чи отримає вона відшкодування, і охарактеризувала такі ризики як професійну небезпеку в криптовалютній індустрії. Вона пообіцяла пожертвувати будь-які відновлені кошти до SEAL Security Alliance і закликала інших також розглянути можливість пожертвувань.
Thirdweb опублікував блог-пост, в якому зазначалося, що крадіжка сталася через те, що застарілий контракт не був належним чином виведений з експлуатації під час реагування на вразливість у квітні 2025 року. Компанія заявила, що назавжди відключила застарілий контракт і що жодні гаманці користувачів або кошти більше не перебувають під загрозою.
Окрім вразливого контракту мосту, Thirdweb розкрив широкомасштабну вразливість наприкінці 2023 року в загальновживаній бібліотеці з відкритим кодом. Дослідник безпеки Паскаль Каверсаччіо з SEAL розкритикував підхід Thirdweb до розкриття інформації, заявивши, що надання списку вразливих контрактів дало зловмисникам попередження.
Згідно з аналізом ScamSniffer, фірми з безпеки блокчейнів, понад 500 контрактів токенів були вражені вразливістю 2023 року, і щонайменше 25 були використані.
Джерело: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
