Co-fondateur d'Espresso signale un vol de $30K crypto via une vulnérabilité du contrat ThirdWeb

2025-12-13 03:21:44

Source : CryptoNewsNet Titre Original : Le co-fondateur d’Espresso rapporte $30k vol de crypto via une vulnérabilité du contrat ThirdWeb Lien Original : Jill Gunter, co-fondatrice d’Espresso, a signalé que son portefeuille crypto avait été vidé en raison d’une vulnérabilité dans un contrat Thirdweb, selon des déclarations publiées sur les réseaux sociaux.

Résumé de l’incident

La vétérane de la crypto Jill Gunter a signalé le vol de plus de 30 000 $ en USDC depuis son portefeuille, vidé le 9 décembre et routed via Railgun.
La vulnérabilité provenait d’un contrat Thirdweb hérité permettant l’accès aux fonds avec des approbations de jetons illimitées.
L’incident faisait suite à une faille dans une bibliothèque open-source en 2023, ayant affecté plus de 500 contrats de jetons et exploitée au moins 25 fois, selon ScamSniffer.

Détails du vol

Gunter, décrite comme une vétérane de 10 ans dans l’industrie de la cryptomonnaie, a déclaré que plus de 30 000 $ en stablecoin USDC avaient été volés de son portefeuille. Les fonds ont été transférés au protocole de confidentialité Railgun alors qu’elle préparait une présentation sur la confidentialité en cryptomonnaie pour un événement à Washington, D.C., selon son récit.

La transaction qui a vidé son adresse jrg.eth a eu lieu le 9 décembre, les jetons ayant été déplacés dans cette adresse la veille en prévision d’un financement par un investisseur providentiel prévu cette semaine-là, a-t-elle indiqué.

Bien que les jetons aient été transférés de jrg.eth à une autre adresse identifiée comme 0xF215, la transaction montrait une interaction avec un contrat 0x81d5, selon l’analyse de Gunter. Elle a identifié le contrat vulnérable comme étant un contrat pont Thirdweb qu’elle avait précédemment utilisé pour une $5 transfert.

Détails de la vulnérabilité

Thirdweb a informé Gunter qu’une vulnérabilité avait été découverte dans le contrat pont en avril. La vulnérabilité permettait à quiconque d’accéder aux fonds des utilisateurs ayant approuvé des permissions de jeton illimitées. Le contrat a depuis été marqué comme compromis sur Etherscan, un explorateur de blockchain.

Thirdweb a publié une déclaration indiquant que le vol résultait d’un contrat hérité qui n’a pas été correctement désactivé lors de la réponse à la vulnérabilité d’avril 2025. La société a déclaré avoir désactivé définitivement le contrat hérité et qu’aucun portefeuille ou fonds utilisateur n’étaient plus à risque.

Impact plus large

En plus du contrat pont vulnérable, Thirdweb a révélé une vulnérabilité étendue à la fin 2023 dans une bibliothèque open-source couramment utilisée. Le chercheur en sécurité Pascal Caversaccio de SEAL a critiqué la manière dont Thirdweb a divulgué l’information, estimant que fournir une liste de contrats vulnérables donnait un avertissement préalable aux acteurs malveillants.

Selon une analyse de ScamSniffer, une société de sécurité blockchain, plus de 500 contrats de jetons ont été affectés par la vulnérabilité de 2023 et au moins 25 ont été exploités.

Réaction de Gunter

Gunter a déclaré qu’elle ne savait pas si elle recevrait une indemnisation et a qualifié ces risques de danger professionnel dans l’industrie de la cryptomonnaie. Elle a promis de faire don de tous fonds récupérés à l’Alliance de sécurité SEAL et a encouragé d’autres à envisager également des dons.

ETH-0.47%

Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.