Jill Gunter, co-fundadora da Espresso, relatou na quinta-feira que sua carteira cripto foi esvaziada devido a uma vulnerabilidade em um contrato da Thirdweb, de acordo com declarações publicadas nas redes sociais.
Resumo
- A veterana em criptomoeda Jill Gunter relatou o roubo de mais de $30.000 em USDC de sua carteira, que foi esvaziada em 9 de dezembro e encaminhada através do Railgun.
- A vulnerabilidade originou-se de um contrato legado da Thirdweb que permitia acesso a fundos com aprovações ilimitadas de tokens.
- O incidente seguiu uma falha separada de biblioteca de código aberto de 2023 que afetou mais de 500 contratos de tokens e foi explorada pelo menos 25 vezes, de acordo com a ScamSniffer.
Gunter, descrita como uma veterana de 10 anos na indústria de criptomoedas, disse que mais de $30.000 em stablecoin USDC foram roubados de sua carteira. Os fundos foram transferidos para o protocolo de privacidade Railgun enquanto ela estava preparando uma apresentação sobre privacidade de criptomoedas para um evento em Washington, D.C., de acordo com seu relato.
Em uma publicação de acompanhamento, Gunter detalhou a investigação sobre o roubo. A transação que esvaziou seu endereço jrg.eth ocorreu em 9 de dezembro, com os tokens tendo sido movidos para o endereço no dia anterior em antecipação ao financiamento de um investimento anjo planejado para aquela semana, ela afirmou.
Embora os tokens tenham sido transferidos de jrg.eth para outro endereço identificado como 0xF215, a transação mostrou uma interação de contrato com 0x81d5, de acordo com a análise de Gunter. Ela identificou o contrato vulnerável como um contrato de ponte da Thirdweb que ela havia usado anteriormente para uma transferência de $5.
A Thirdweb informou Gunter que uma vulnerabilidade havia sido descoberta no contrato de ponte em abril, ela relatou. A vulnerabilidade permitia que qualquer pessoa acessasse fundos de usuários que haviam aprovado permissões ilimitadas de tokens. O contrato desde então foi rotulado como comprometido no Explorador (Navegador) de blockchain Etherscan.
Gunter afirmou que não sabia se receberia reembolso e caracterizou tais riscos como um perigo ocupacional na indústria de criptomoedas. Ela se comprometeu a doar quaisquer fundos recuperados para a SEAL Security Alliance e encorajou outros a considerarem doações também.
A Thirdweb publicou um post no blog afirmando que o roubo resultou de um contrato legado que não foi devidamente desativado durante sua resposta à vulnerabilidade de abril de 2025. A empresa disse que desativou permanentemente o contrato legado e que nenhuma carteira de usuário ou fundos permanecem em risco.
Além do contrato de ponte vulnerável, a Thirdweb divulgou uma vulnerabilidade de amplo alcance no final de 2023 em uma biblioteca de código aberto comumente usada. O pesquisador de segurança Pascal Caversaccio da SEAL criticou a abordagem de divulgação da Thirdweb, afirmando que fornecer uma lista de contratos vulneráveis deu aos atores maliciosos um aviso antecipado.
De acordo com análise da ScamSniffer, uma empresa de segurança blockchain, mais de 500 contratos de tokens foram afetados pela vulnerabilidade de 2023 e pelo menos 25 foram explorados.
Fonte: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
