Đồng sáng lập Espresso báo cáo $30K vụ trộm tiền điện tử qua lỗ hổng hợp đồng ThirdWeb

Nguồn: CryptoNewsNet Tiêu đề gốc: Đồng sáng lập Espresso báo cáo $30k vụ trộm crypto qua lỗ hổng hợp đồng ThirdWeb Liên kết gốc: Jill Gunter, đồng sáng lập của Espresso, đã báo cáo rằng ví crypto của cô bị rút sạch do một lỗ hổng trong hợp đồng Thirdweb, theo các tuyên bố đăng tải trên mạng xã hội.

Tóm tắt vụ việc

• Nhà kỳ cựu trong lĩnh vực crypto Jill Gunter đã báo cáo về việc bị trộm hơn 30.000 USD USDC từ ví của cô, bị rút vào ngày 9 tháng 12 và chuyển qua Railgun.
• Lỗ hổng xuất phát từ một hợp đồng Thirdweb cũ, cho phép truy cập vào quỹ với các quyền phê duyệt token không giới hạn.
• Vụ việc này xảy ra sau một lỗ hổng thư viện mã nguồn mở riêng biệt trong năm 2023, ảnh hưởng đến hơn 500 hợp đồng token và bị khai thác ít nhất 25 lần, theo ScamSniffer.

Chi tiết vụ trộm

Gunter, mô tả là một chuyên gia có 10 năm kinh nghiệm trong ngành công nghiệp cryptocurrency, cho biết hơn 30.000 USD USDC đã bị đánh cắp từ ví của cô. Các quỹ này đã được chuyển vào giao thức bảo mật Railgun trong khi cô đang chuẩn bị một bài thuyết trình về quyền riêng tư của tiền điện tử cho một sự kiện tại Washington, D.C., theo lời cô.

Giao dịch khiến ví jrg.eth của cô bị rút mất xảy ra vào ngày 9 tháng 12, với các token đã được chuyển vào địa chỉ này vào ngày hôm trước để chuẩn bị cho việc tài trợ một khoản đầu tư thiên thần dự kiến diễn ra trong tuần đó, cô cho biết.

Mặc dù các token đã được chuyển từ jrg.eth sang một địa chỉ khác được xác định là 0xF215, giao dịch này cho thấy có sự tương tác hợp đồng với 0x81d5, theo phân tích của Gunter. Cô xác định hợp đồng dễ bị tổn thương là hợp đồng cầu nối của Thirdweb mà cô đã từng sử dụng để $5 chuyển khoản.

Chi tiết về lỗ hổng

Thirdweb đã thông báo cho Gunter rằng một lỗ hổng đã được phát hiện trong hợp đồng cầu nối vào tháng 4. Lỗ hổng này cho phép bất kỳ ai truy cập vào quỹ từ những người dùng đã phê duyệt quyền token không giới hạn. Hợp đồng này đã bị đánh dấu là đã bị xâm phạm trên Etherscan, một trình duyệt blockchain.

Thirdweb phát hành một tuyên bố cho biết vụ trộm xuất phát từ một hợp đồng cũ không được ngưng hoạt động đúng cách trong phản ứng với lỗ hổng tháng 4 năm 2025. Công ty nói rằng họ đã vô hiệu hóa vĩnh viễn hợp đồng cũ này và không còn ví người dùng hoặc quỹ nào gặp rủi ro.

Tác động rộng hơn

Ngoài hợp đồng cầu nối dễ bị tổn thương, Thirdweb tiết lộ một lỗ hổng rộng lớn vào cuối năm 2023 trong một thư viện mã nguồn mở phổ biến. Nhà nghiên cứu bảo mật Pascal Caversaccio của SEAL đã chỉ trích cách tiếp cận của Thirdweb trong việc công bố, cho rằng việc cung cấp danh sách các hợp đồng dễ bị tổn thương đã cảnh báo sớm cho các tác nhân độc hại.

Theo phân tích của ScamSniffer, một công ty an ninh blockchain, hơn 500 hợp đồng token đã bị ảnh hưởng bởi lỗ hổng năm 2023 và ít nhất 25 hợp đồng đã bị khai thác.

Phản hồi của Gunter

Gunter cho biết cô không biết liệu mình có nhận được khoản bồi thường hay không và mô tả những rủi ro này như một phần của rủi ro nghề nghiệp trong ngành công nghiệp cryptocurrency. Cô cam kết sẽ quyên góp bất kỳ khoản tiền nào thu hồi được cho Liên minh An ninh SEAL và khuyến khích mọi người xem xét quyên góp nữa.