أفادت جيل غونتر، المؤسس المشارك لشركة إسبريسو، يوم الخميس أن محفظتها للعملات المشفرة قد تم استنزافها بسبب ثغرة في عقد Thirdweb، وفقًا لتصريحات نُشرت على وسائل التواصل الاجتماعي.
ملخص
- أبلغت جيل غونتر، المخضرمة في مجال العملات المشفرة، عن سرقة أكثر من 30,000 دولار من USDC من محفظتها، والتي تم استنزافها في 9 ديسمبر وتوجيهها عبر Railgun.
- نشأت الثغرة من عقد Thirdweb قديم سمح بالوصول إلى الأموال مع موافقات غير محدودة للرموز المميزة.
- تبع الحادث خلل منفصل في مكتبة مفتوحة المصدر لعام 2023 أثر على أكثر من 500 عقد للرموز المميزة وتم استغلاله 25 مرة على الأقل، وفقًا لـ ScamSniffer.
قالت غونتر، التي توصف بأنها مخضرمة في صناعة العملات المشفرة منذ 10 سنوات، إن أكثر من 30,000 دولار من العملة المستقرة USDC قد سُرقت من محفظتها. تم تحويل الأموال إلى بروتوكول الخصوصية Railgun بينما كانت تعد عرضًا تقديميًا حول خصوصية العملات المشفرة لحدث في واشنطن العاصمة، وفقًا لروايتها.
في منشور متابعة، فصّلت غونتر التحقيق في السرقة. حدثت المعاملة التي استنزفت عنوان jrg.eth الخاص بها في 9 ديسمبر، حيث تم نقل الرموز المميزة إلى العنوان في اليوم السابق تحسبًا لتمويل استثمار ملاك مخطط له لتلك الأسبوع، كما ذكرت.
على الرغم من أن الرموز المميزة تم تحويلها من jrg.eth إلى عنوان آخر تم تحديده باسم 0xF215، إلا أن المعاملة أظهرت تفاعلًا تعاقديًا مع 0x81d5، وفقًا لتحليل غونتر. حددت العقد الضعيف على أنه عقد جسر Thirdweb كانت قد استخدمته سابقًا لتحويل بقيمة 5 دولارات.
أبلغت Thirdweb غونتر أنه تم اكتشاف ثغرة في عقد الجسر في أبريل، كما ذكرت. سمحت الثغرة لأي شخص بالوصول إلى أموال المستخدمين الذين وافقوا على أذونات غير محدودة للرموز المميزة. تم تصنيف العقد منذ ذلك الحين على أنه مخترق على Etherscan، وهو مستكشف البلوكشين.
صرحت غونتر بأنها لا تعرف ما إذا كانت ستتلقى تعويضًا ووصفت هذه المخاطر بأنها مخاطر مهنية في صناعة العملات المشفرة. تعهدت بالتبرع بأي أموال مستردة إلى تحالف SEAL الأمني وشجعت الآخرين على التفكير في التبرعات أيضًا.
نشرت Thirdweb منشورًا على المدونة يفيد بأن السرقة نتجت عن عدم إيقاف عقد قديم بشكل صحيح خلال استجابتها للثغرة في أبريل 2025. وقالت الشركة إنها عطلت العقد القديم بشكل دائم وأنه لا توجد محافظ أو أموال للمستخدمين معرضة للخطر.
بالإضافة إلى عقد الجسر الضعيف، كشفت Thirdweb عن ثغرة واسعة النطاق في أواخر عام 2023 في مكتبة مفتوحة المصدر شائعة الاستخدام. انتقد باسكال كافيرساسيو، الباحث الأمني في SEAL، نهج الكشف الذي اتبعته Thirdweb، مشيرًا إلى أن تقديم قائمة بالعقود الضعيفة أعطى الجهات الخبيثة إنذارًا مسبقًا.
وفقًا لتحليل أجرته ScamSniffer، وهي شركة أمن بلوكتشين، تأثر أكثر من 500 عقد للرموز المميزة بثغرة عام 2023 وتم استغلال 25 منها على الأقل.
المصدر: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
