エスプレッソ共同創設者のジル・ガンターが$30k 暗号資産の盗難を報告

エスプレッソの共同創設者ジル・ガンサーは木曜日、ソーシャルメディアに投稿された声明によると、彼女の暗号通貨ウォレットがThirdwebコントラクトの脆弱性により流出したと報告しました。

概要

• 暗号通貨のベテラン、ジル・ガンサーは、ウォレットから30,000ドルを超えるUSDCが盗まれ、12月9日に流出し、Railgunを経由したと報告。
• 脆弱性は、無制限のトークン承認を許可するレガシーなThirdwebコントラクトに起因していた。
• この事件は、2023年のオープンソースライブラリの別の欠陥に続き、500以上のトークンコントラクトに影響を与え、少なくとも25回悪用されたとScamSnifferは述べている。

暗号通貨業界の10年の経験を持つとされるガンサーは、彼女のウォレットから30,000ドルを超えるUSDCステーブルコインが盗まれたと述べました。資金は、ワシントンD.C.での暗号通貨プライバシーに関するイベントのプレゼンテーションを準備している間に、プライバシー保護プロトコルのRailgunに送金されたと彼女は語っています。

追跡投稿で、ガンサーは盗難の調査について詳述しました。彼女のjrg.ethアドレスから資金を流出させた取引は12月9日に行われ、その前日に資金が別のアドレスに移されたと述べています。これは、その週に予定されていたエンジェル投資の資金調達を見越したものでした。

トークンはjrg.ethから0xF215と識別された別のアドレスに転送されましたが、取引は0x81d5とのコントラクトインタラクションを示していたと、ガンサーの分析によると述べています。彼女は、以前に$5 transferに使用したThirdwebのブリッジコントラクトを脆弱と特定しました。

Thirdwebは、4月にブリッジコントラクトに脆弱性が発見されたとガンサーに通知しました。脆弱性は、誰でも無制限のトークン許可を承認したユーザーの資金にアクセスできるものでした。その後、このコントラクトはEtherscanのブロックチェーンエクスプローラー上で侵害されたとラベル付けされています。

ガンサーは、補償を受け取るかどうかは不明であり、そのようなリスクは暗号通貨業界の職業的危険と見なしていると述べました。彼女は、回収された資金をSEAL Security Allianceに寄付することを誓い、他者にも寄付を検討するよう促しました。

Thirdwebは、ブログ投稿で、盗難は2025年4月の脆弱性対応中にレガシーコントラクトが適切に廃止されなかったことに起因すると述べました。同社は、レガシーコントラクトを恒久的に無効にし、ユーザのウォレットや資金はリスクにさらされていないとしています。

脆弱なブリッジコントラクトに加え、Thirdwebは2023年後半に一般的に使用されているオープンソースライブラリに広範な脆弱性を開示しました。SEALのセキュリティ研究者パスカル・カヴェラッシオは、Thirdwebの開示方法を批判し、脆弱なコントラクトのリストを提供することは悪意のある者に事前警告を与えると述べました。

ScamSnifferというブロックチェーンセキュリティ企業の分析によると、2023年の脆弱性により500以上のトークンコントラクトが影響を受け、少なくとも25件が悪用されたと報告しています。