Співзасновник Espresso повідомляє про $30K крадіжку криптовалюти через вразливість контракту ThirdWeb

Джерело: CryptoNewsNet Оригінальна назва: Співзасновник Espresso повідомляє про $30k крадіжку криптовалюти через вразливість контракту ThirdWeb Оригінальне посилання: Джілл Гантер, співзасновник Espresso, повідомила, що її криптогаманець був очищений через вразливість у контракті Thirdweb, згідно з заявах, опублікованих у соцмережах.

Підсумок інциденту

• Ветеран криптоіндустрії Джілл Гантер повідомила про крадіжку понад $30,000 у USDC з її гаманця, який був очищений 9 грудня та маршрутизований через Railgun.
• Вразливість виникла через застарілий контракт Thirdweb, що дозволяв доступ до коштів із необмеженими дозволами на токени.
• Інцидент стався після окремої помилки у бібліотеці з відкритим кодом 2023 року, яка вплинула на понад 500 контрактів токенів і була використана щонайменше 25 разів, згідно з ScamSniffer.

Деталі крадіжки

Гантер, описана як 10-річний ветеран криптовалютної індустрії, повідомила, що з її гаманця було викрадено понад $30,000 у стабількоіні USDC. Кошти були переведені до протоколу приватності Railgun під час підготовки презентації про приватність криптовалют для заходу у Вашингтоні, округ Колумбія, згідно з її розповіддю.

Транзакція, яка злила її адресу jrg.eth, сталася 9 грудня, при цьому токени були переміщені на цю адресу напередодні, щоб фінансувати плановані інвестиції-ангели того тижня, заявила вона.

Хоча токени були переведені з jrg.eth на іншу адресу, ідентифіковану як 0xF215, транзакція показала взаємодію з контрактом 0x81d5, за аналізом Гантер. Вона визначила вразливий контракт як мостовий контракт Thirdweb, який вона раніше використовувала для $5 передавання.

Деталі вразливості

Thirdweb повідомила Гантер, що в квітні була виявлена вразливість у мостовому контракті. Вразливість дозволяла будь-кому отримати доступ до коштів користувачів, які затвердили необмежені дозволи на токени. З того часу контракт був позначений як скомпрометований на Etherscan, блокчейн-оглядачі.

Thirdweb опублікувала заяву, у якій зазначила, що крадіжка сталася через те, що застарілий контракт не був правильно виведений з експлуатації під час реагування на вразливість у квітні 2025 року. Компанія заявила, що вона назавжди деактивувала застарілий контракт і що жодних гаманців чи коштів користувачів не залишилось під ризиком.

Більш широкий вплив

На додаток до вразливого мостового контракту, Thirdweb розкрила широкомасштабну вразливість наприкінці 2023 року у поширеній бібліотеці з відкритим кодом. Дослідник з безпеки Паскаль Каверрачі з SEAL критично оцінив підхід Thirdweb до розкриття, зазначивши, що надання списку вразливих контрактів дало зловмисникам попереджувальні сигнали.

Згідно з аналізом ScamSniffer, компанії з безпеки блокчейну, понад 500 контрактів токенів були під впливом вразливості 2023 року, і щонайменше 25 з них було використано.

Відповідь Гантер

Гантер заявила, що не знає, чи отримає вона компенсацію, і охарактеризувала такі ризики як професійний ризик у криптовалютній індустрії. Вона пообіцяла передати будь-які відновлені кошти до SEAL Security Alliance і закликала інших розглянути можливість пожертвувань.