根据社交媒体上发布的声明,Espresso联合创始人Jill Gunter周四报告称,由于Thirdweb合约中的一个漏洞,她的加密钱包被清空。
摘要
- 加密货币资深人士Jill Gunter报告称,她钱包中超过30,000美元的USDC被盗,这些资金于12月9日被清空并通过Railgun转移。
- 漏洞源自一个旧版Thirdweb合约,该合约允许通过无限代币授权访问资金。
- 据ScamSniffer称,此事件发生在2023年另一个影响超过500个代币合约并被利用至少25次的开源库漏洞之后。
被描述为拥有10年加密货币行业经验的Gunter表示,她钱包中超过30,000美元的USDC稳定币被盗。根据她的叙述,这些资金被转移到隐私协议Railgun,当时她正在为华盛顿特区的一个活动准备关于加密货币隐私的演讲。
在后续帖子中,Gunter详细说明了对盗窃事件的调查。她表示,清空她jrg.eth地址的交易发生在12月9日,而这些代币是前一天转入该地址的,目的是为当周计划的天使投资提供资金。
根据Gunter的分析,尽管代币是从jrg.eth转移到另一个标识为0xF215的地址,但交易显示与0x81d5合约有交互。她确认这个有漏洞的合约是她之前用于5美元转账的Thirdweb桥接合约。
她报告说,Thirdweb告知Gunter,该桥接合约的漏洞于4月被发现。这个漏洞允许任何人访问那些已批准无限代币权限的用户的资金。该合约此后在区块链浏览器Etherscan上被标记为已受损。
Gunter表示,她不知道是否会获得赔偿,并将此类风险描述为加密货币行业的职业风险。她承诺将任何追回的资金捐赠给SEAL安全联盟,并鼓励其他人也考虑捐款。
Thirdweb发布了一篇博客文章,称盗窃事件是由于在2025年4月漏洞响应期间未正确停用旧版合约所致。该公司表示已永久禁用旧版合约,且没有用户钱包或资金仍处于风险中。
除了有漏洞的桥接合约外,Thirdweb还在2023年末披露了一个广泛影响常用开源库的漏洞。SEAL的安全研究员Pascal Caversaccio批评了Thirdweb的披露方式,称提供有漏洞合约列表给了恶意行为者提前警告。
根据区块链安全公司ScamSniffer的分析,2023年的漏洞影响了超过500个代币合约,至少有25个被利用。
来源:https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
