Соучредитель Espresso сообщает о $30K кражи криптовалюты через уязвимость контракта ThirdWeb

Источник: CryptoNewsNet Оригинальный заголовок: Соучредитель Espresso сообщает о $30k краже криптовалюты через уязвимость контракта ThirdWeb Оригинальная ссылка: Джилл Гантер, соучредитель Espresso, сообщила, что её криптокошелек был опустошён из-за уязвимости в контракте Thirdweb, согласно заявлениям, опубликованным в социальных сетях.

Краткое описание инцидента

• Ветеран криптовалютной индустрии Джилл Гантер сообщила о краже более $30,000 в USDC с её кошелька, который был опустошён 9 декабря и маршрутизирован через Railgun.
• Уязвимость возникла из-за устаревшего контракта Thirdweb, который позволял доступ к средствам с неограниченными разрешениями на токены.
• Инцидент последовал за отдельной уязвимостью в библиотеке с открытым исходным кодом 2023 года, затронувшей более 500 токен-контрактов и использованной как минимум 25 раз, согласно ScamSniffer.

Детали кражи

Гантер, описываемая как ветеран криптовалютной индустрии с 10-летним стажем, заявила, что более $30,000 в стабильной монете USDC было украдено с её кошелька. Средства были переведены в протокол конфиденциальности Railgun, пока она готовила презентацию по конфиденциальности криптовалют для мероприятия в Вашингтоне, округ Колумбия, по её словам.

Транзакция, которая опустошила её адрес jrg.eth, произошла 9 декабря, при этом токены были перемещены на этот адрес за день до этого в anticipation of funding an angel investment planned for that week, she stated.

Хотя токены были переведены с jrg.eth на другой адрес, обозначенный как 0xF215, транзакция показала взаимодействие с контрактом 0x81d5, согласно анализу Гантер. Она идентифицировала уязвимый контракт как мостовой контракт Thirdweb, который она ранее использовала для $5 перевода.

Детали уязвимости

Thirdweb сообщил Гантер, что в апреле была обнаружена уязвимость в мостовом контракте. Уязвимость позволяла любому получить доступ к средствам пользователей, давших разрешение на неограниченное использование токенов. С тех пор контракт был помечен как скомпрометированный на Etherscan, блокчейн-обозревателе.

Thirdweb опубликовала заявление, в котором указала, что кража произошла из-за того, что устаревший контракт не был должным образом выведен из эксплуатации во время реагирования на уязвимость апреля 2025 года. Компания заявила, что навсегда отключила устаревший контракт и что никакие кошельки пользователей или средства не находятся под угрозой.

Более широкий эффект

Помимо уязвимого мостового контракта, Thirdweb раскрыла в конце 2023 года широкомасштабную уязвимость в широко используемой библиотеке с открытым исходным кодом. Исследователь безопасности Pascal Caversaccio из SEAL критиковал подход Thirdweb к раскрытию информации, заявив, что предоставление списка уязвимых контрактов дало злоумышленникам предварительное предупреждение.

Согласно анализу ScamSniffer, фирмы, специализирующейся на безопасности блокчейнов, более 500 токен-контрактов были затронуты уязвимостью 2023 года, и как минимум 25 из них были использованы злоумышленниками.

Реакция Гантер

Гантер заявила, что не знает, получит ли она возмещение, и охарактеризовала такие риски как профессиональный риск в криптовалютной индустрии. Она пообещала пожертвовать любые восстановленные средства в SEAL Security Alliance и призвала других рассматривать возможность пожертвований.