Pendiri Espresso Melaporkan $30K Pencurian Crypto Melalui Kerentanan Kontrak ThirdWeb

Sumber: CryptoNewsNet Judul Asli: Co-founder Espresso laporkan $30k pencurian crypto melalui kerentanan kontrak ThirdWeb Tautan Asli: Jill Gunter, co-founder Espresso, melaporkan bahwa dompet kriptonya telah dikuras karena kerentanan dalam kontrak Thirdweb, menurut pernyataan yang diposting di media sosial.

Ringkasan Insiden

• Veteran kripto Jill Gunter melaporkan pencurian lebih dari $30.000 dalam USDC dari dompetnya, yang dikuras pada 9 Desember dan dialihkan melalui Railgun.
• Kerentanan berasal dari kontrak Thirdweb warisan yang memungkinkan akses ke dana dengan persetujuan token tanpa batas.
• Insiden ini mengikuti kerusakan perpustakaan sumber terbuka yang terpisah pada 2023 yang mempengaruhi lebih dari 500 kontrak token dan dieksploitasi setidaknya 25 kali, menurut ScamSniffer.

Rincian Pencurian

Gunter, yang digambarkan sebagai veteran industri cryptocurrency selama 10 tahun, mengatakan lebih dari $30.000 dalam stablecoin USDC telah dicuri dari dompetnya. Dana tersebut dipindahkan ke protokol privasi Railgun saat dia sedang menyiapkan presentasi tentang privasi cryptocurrency untuk sebuah acara di Washington, D.C., menurut ceritanya.

Transaksi yang menguras dompet jrg.eth-nya terjadi pada 9 Desember, dengan token telah dipindahkan ke alamat tersebut sehari sebelumnya sebagai persiapan pendanaan investasi malaikat yang direncanakan minggu itu, katanya.

Meskipun token dipindahkan dari jrg.eth ke alamat lain yang diidentifikasi sebagai 0xF215, transaksi tersebut menunjukkan interaksi kontrak dengan 0x81d5, menurut analisis Gunter. Dia mengidentifikasi kontrak yang rentan sebagai kontrak jembatan Thirdweb yang sebelumnya dia gunakan untuk $5 transfer.

Rincian Kerentanan

Thirdweb memberi tahu Gunter bahwa kerentanan telah ditemukan di kontrak jembatan pada April. Kerentanan tersebut memungkinkan siapa saja mengakses dana dari pengguna yang telah menyetujui izin token tanpa batas. Kontrak tersebut sejak itu diberi label sebagai dikompromikan di Etherscan, penjelajah blockchain.

Thirdweb menerbitkan pernyataan yang menyatakan bahwa pencurian tersebut disebabkan oleh kontrak warisan yang tidak didekomisionisasi dengan benar selama respons kerentanan April 2025. Perusahaan menyatakan telah menonaktifkan permanen kontrak warisan tersebut dan tidak ada dompet pengguna atau dana yang tersisa dalam risiko.

Dampak Lebih Luas

Selain kontrak jembatan yang rentan, Thirdweb mengungkapkan kerentanan luas pada akhir 2023 dalam perpustakaan sumber terbuka yang umum digunakan. Peneliti keamanan Pascal Caversaccio dari SEAL mengkritik pendekatan pengungkapan Thirdweb, menyatakan bahwa menyediakan daftar kontrak yang rentan memberi peringatan dini kepada aktor jahat.

Menurut analisis dari ScamSniffer, sebuah perusahaan keamanan blockchain, lebih dari 500 kontrak token terpengaruh oleh kerentanan 2023 dan setidaknya 25 dieksploitasi.

Tanggapan Gunter

Gunter menyatakan dia tidak tahu apakah dia akan menerima penggantian dan menggambarkan risiko tersebut sebagai bahaya pekerjaan di industri cryptocurrency. Dia berjanji akan menyumbangkan dana yang berhasil dipulihkan ke SEAL Security Alliance dan mendorong orang lain untuk mempertimbangkan donasi juga.