Jill Gunter, medeoprichter van Espresso, meldde donderdag dat haar cryptowallet was leeggehaald vanwege een kwetsbaarheid in een Thirdweb-contract, volgens verklaringen op sociale media.
Samenvatting
- Crypto-veteraan Jill Gunter meldde de diefstal van meer dan $30.000 in USDC uit haar wallet, die op 9 december werd leeggehaald en via Railgun werd gerouteerd.
- De kwetsbaarheid kwam voort uit een verouderd Thirdweb-contract dat toegang tot fondsen mogelijk maakte met onbeperkte tokengoedkeuringen.
- Het incident volgde op een afzonderlijk probleem in een open-source bibliotheek uit 2023 dat meer dan 500 tokencontracten trof en minstens 25 keer werd uitgebuit, volgens ScamSniffer.
Gunter, beschreven als een 10-jarige veteraan in de cryptocurrency-industrie, zei dat meer dan $30.000 in USDC stablecoin uit haar wallet was gestolen. De fondsen werden overgemaakt naar het privacyprotocol Railgun terwijl ze een presentatie over cryptocurrency-privacy voorbereidde voor een evenement in Washington, D.C., volgens haar verklaring.
In een vervolgbericht beschreef Gunter het onderzoek naar de diefstal. De transactie die haar jrg.eth-adres leeghaalde vond plaats op 9 december, waarbij de tokens de dag ervoor naar het adres waren verplaatst in afwachting van de financiering van een angel-investering die voor die week gepland stond, verklaarde ze.
Hoewel de tokens werden overgedragen van jrg.eth naar een ander adres geïdentificeerd als 0xF215, toonde de transactie een contractinteractie met 0x81d5, volgens Gunter's analyse. Ze identificeerde het kwetsbare contract als een Thirdweb-bridge contract dat ze eerder had gebruikt voor een overdracht van $5.
Thirdweb informeerde Gunter dat er in april een kwetsbaarheid was ontdekt in het bridge-contract, meldde ze. De kwetsbaarheid stelde iedereen in staat om toegang te krijgen tot fondsen van gebruikers die onbeperkte tokenmachtigingen hadden goedgekeurd. Het contract is sindsdien op Etherscan, een blockchain-verkenner, als gecompromitteerd gelabeld.
Gunter verklaarde dat ze niet wist of ze een vergoeding zou ontvangen en omschreef dergelijke risico's als een beroepsrisico in de cryptocurrency-industrie. Ze beloofde alle teruggevorderde fondsen te doneren aan de SEAL Security Alliance en moedigde anderen aan om ook donaties te overwegen.
Thirdweb publiceerde een blogpost waarin stond dat de diefstal het gevolg was van een verouderd contract dat niet correct was ontmanteld tijdens de reactie op de kwetsbaarheid in april 2025. Het bedrijf zei dat het het verouderde contract permanent heeft uitgeschakeld en dat geen enkele gebruikerswallet of fondsen nog risico lopen.
Naast het kwetsbare bridge-contract onthulde Thirdweb eind 2023 een verstrekkende kwetsbaarheid in een veelgebruikte open-source bibliotheek. Beveiligingsonderzoeker Pascal Caversaccio van SEAL bekritiseerde de openbaarmakingsaanpak van Thirdweb en stelde dat het verstrekken van een lijst met kwetsbare contracten kwaadwillende actoren vooraf waarschuwde.
Volgens analyse door ScamSniffer, een blockchain-beveiligingsbedrijf, werden meer dan 500 tokencontracten getroffen door de kwetsbaarheid van 2023 en werden er minstens 25 uitgebuit.
Bron: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
