Jill Gunter, współzałożycielka Espresso, poinformowała w czwartek, że jej portfel kryptowalutowy został opróżniony z powodu luki w kontrakcie Thirdweb, zgodnie z oświadczeniami opublikowanymi w mediach społecznościowych.
Podsumowanie
- Weteranka kryptowalut Jill Gunter zgłosiła kradzież ponad 30 000 dolarów w USDC ze swojego portfela, który został opróżniony 9 grudnia i przekierowany przez Railgun.
- Luka wynikała z przestarzałego kontraktu Thirdweb, który umożliwiał dostęp do środków z nieograniczonymi zatwierdzeniami tokenów.
- Incydent nastąpił po odrębnej luce w bibliotece open-source z 2023 roku, która wpłynęła na ponad 500 kontraktów tokenowych i została wykorzystana co najmniej 25 razy, według ScamSniffer.
Gunter, opisywana jako 10-letnia weteranka branży kryptowalutowej, powiedziała, że z jej portfela skradziono ponad 30 000 dolarów w stablecoinie USDC. Środki zostały przeniesione do protokołu prywatności Railgun, podczas gdy przygotowywała prezentację na temat prywatności kryptowalut na wydarzenie w Waszyngtonie, zgodnie z jej relacją.
W kolejnym poście Gunter szczegółowo opisała dochodzenie w sprawie kradzieży. Transakcja, która opróżniła jej adres jrg.eth, miała miejsce 9 grudnia, a tokeny zostały przeniesione na ten adres dzień wcześniej w oczekiwaniu na finansowanie inwestycji anielskiej zaplanowanej na ten tydzień, jak stwierdziła.
Chociaż tokeny zostały przeniesione z jrg.eth na inny adres zidentyfikowany jako 0xF215, transakcja wykazała interakcję kontraktu z 0x81d5, według analizy Gunter. Zidentyfikowała ona podatny kontrakt jako kontrakt mostu Thirdweb, którego wcześniej użyła do transferu o wartości 5 dolarów.
Thirdweb poinformował Gunter, że w kwietniu odkryto lukę w kontrakcie mostu, jak podała. Luka pozwalała każdemu na dostęp do środków od użytkowników, którzy zatwierdzili nieograniczone uprawnienia tokenów. Kontrakt został od tego czasu oznaczony jako skompromitowany w Etherscan, eksploratorze blockchain.
Gunter stwierdziła, że nie wie, czy otrzyma zwrot kosztów i scharakteryzowała takie ryzyko jako zagrożenie zawodowe w branży kryptowalutowej. Zobowiązała się przekazać wszelkie odzyskane środki na rzecz SEAL Security Alliance i zachęciła innych do rozważenia darowizn.
Thirdweb opublikował post na blogu, stwierdzając, że kradzież wynikała z nieprawidłowego wycofania przestarzałego kontraktu podczas reakcji na lukę w kwietniu 2025 roku. Firma poinformowała, że trwale wyłączyła przestarzały kontrakt i że żadne portfele użytkowników ani środki nie są już zagrożone.
Oprócz podatnego kontraktu mostu, Thirdweb ujawnił pod koniec 2023 roku szeroko rozpowszechnioną lukę w powszechnie używanej bibliotece open-source. Badacz bezpieczeństwa Pascal Caversaccio z SEAL skrytykował podejście Thirdweb do ujawnienia, stwierdzając, że dostarczenie listy podatnych kontraktów dało złośliwym podmiotom wcześniejsze ostrzeżenie.
Według analizy przeprowadzonej przez ScamSniffer, firmę zajmującą się bezpieczeństwem blockchain, ponad 500 kontraktów tokenowych zostało dotkniętych luką z 2023 roku, a co najmniej 25 zostało wykorzystanych.
Źródło: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
