Соучредитель Espresso Джилл Гантер сообщает, что $30k криптовалюта украдена

Джилл Гунтер, соучредитель Espresso, в четверг сообщила, что её крипто-кошелек был опустошён из-за уязвимости в контракте Thirdweb, согласно заявлениям, размещённым в социальных сетях.

Краткое содержание

• Ветеран криптоиндустрии Джилл Гунтер сообщила о краже более 30 000 долларов США в USDC со своего кошелька, который был опустошён 9 декабря и направлен через Railgun.
• Уязвимость возникла из-за наследственного контракта Thirdweb, который позволял доступ к средствам с неограниченными разрешениями на токены.
• Инцидент произошёл после отдельной уязвимости в библиотеке с открытым исходным кодом 2023 года, которая затронула более 500 контрактов токенов и была эксплуатирована как минимум 25 раз, согласно ScamSniffer.

Гунтер, которая описывается как ветеран криптоиндустрии с 10-летним опытом, заявила, что у неё было украдено более 30 000 долларов США в стаблкоине USDC. Средства были переведены в протокол конфиденциальности Railgun, пока она готовилась к презентации о конфиденциальности криптовалют на мероприятии в Вашингтоне, округ Колумбия, согласно её рассказу.

В последующем посте Гунтер подробно описала расследование кражи. Транзакция, которая опустошила её адрес jrg.eth, произошла 9 декабря, при этом токены были переведены на этот адрес за день до этого в ожидании финансирования ангельских инвестиций, запланированных на ту же неделю, заявила она.

Хотя токены были переведены с jrg.eth на другой адрес, обозначенный как 0xF215, транзакция показала взаимодействие с контрактом 0x81d5, согласно анализу Гунтер. Она идентифицировала уязвимый контракт как мостовой контракт Thirdweb, который она ранее использовала для $5 перевода.

Thirdweb сообщил Гунтер, что в апреле была обнаружена уязвимость в мостовом контракте, она сообщила. Уязвимость позволяла любому получать доступ к средствам пользователей, которые одобрили неограниченные разрешения на токены. С тех пор контракт был помечен как скомпрометированный на Etherscan, обозревателе блокчейна.

Гунтер заявила, что не знает, получит ли она возмещение, и охарактеризовала такие риски как профессиональную опасность в криптоиндустрии. Она пообещала пожертвовать любые восстановленные средства в SEAL Security Alliance и призвала других рассматривать возможность пожертвований.

Thirdweb опубликовала блог-пост, в котором говорится, что кража произошла из-за того, что наследственный контракт не был должным образом деактивирован во время реагирования на уязвимость в апреле 2025 года. Компания заявила, что навсегда отключила наследственный контракт и что никакие кошельки или средства пользователей не находятся под угрозой.

Помимо уязвимого мостового контракта, Thirdweb раскрыла широкую уязвимость в конце 2023 года в широко используемой библиотеке с открытым исходным кодом. Исследователь безопасности Pascal Caversaccio из SEAL раскритиковал подход Thirdweb к раскрытию информации, заявив, что предоставление списка уязвимых контрактов дало злоумышленникам предварительное предупреждение.

Согласно анализу ScamSniffer, компании, занимающейся безопасностью блокчейнов, более 500 контрактов токенов были затронуты уязвимостью 2023 года, и как минимум 25 были эксплуатированы.