Diebstahl von Krypto-Geldern bei Espresso-Mitgründerin
Jill Gunter, Mitgründerin von Espresso, berichtete am Donnerstag, dass ihr Krypto-Wallet aufgrund einer Schwachstelle in einem Thirdweb-Vertrag leergeräumt wurde. Dies teilte sie in sozialen Medien mit. Gunter, die als erfahrene Expertin mit über zehn Jahren in der Kryptowährungsbranche gilt, gab an, dass mehr als 30.000 USDC Stablecoin aus ihrem Wallet gestohlen wurden.
Details des Vorfalls
Die Gelder wurden an das Datenschutzprotokoll Railgun transferiert, während sie eine Präsentation über Krypto-Privatsphäre für eine Veranstaltung in Washington, D.C., vorbereitete. In einem Folgebeitrag erläuterte Gunter die Ermittlungen zu dem Diebstahl. Die Transaktion, die ihre jrg.eth-Adresse leergeräumt hat, fand am 9. Dezember statt. Die Token waren am Tag zuvor in die Adresse verschoben worden, um eine für diese Woche geplante Angel-Investition zu finanzieren, erklärte sie.
Obwohl die Token von jrg.eth an eine andere Adresse, die als 0xF215 identifiziert wurde, transferiert wurden, zeigte die Transaktion eine Vertragsinteraktion mit 0x81d5, laut Gunters Analyse. Sie identifizierte den anfälligen Vertrag als einen Thirdweb-Brückenvertrag, den sie zuvor für einen Transfer von 5 US-Dollar verwendet hatte.
Schwachstelle und Reaktionen
Thirdweb informierte Gunter darüber, dass im April eine Schwachstelle im Brückenvertrag entdeckt wurde. Diese Schwachstelle erlaubte es jedem, auf Gelder von Nutzern zuzugreifen, die unbegrenzte Token-Berechtigungen genehmigt hatten. Der Vertrag wurde seitdem auf Etherscan, einem Blockchain-Explorer, als kompromittiert gekennzeichnet.
„Ich weiß nicht, ob ich eine Rückerstattung erhalten werde, und charakterisiere solche Risiken als Berufsunfall in der Kryptowährungsbranche.“
Gunter versprach, alle wiedergewonnenen Gelder an die SEAL Security Alliance zu spenden und ermutigte andere, ebenfalls Spenden in Betracht zu ziehen.
Thirdwebs Stellungnahme
Thirdweb veröffentlichte einen Blogbeitrag, in dem erklärt wurde, dass der Diebstahl auf einen nicht ordnungsgemäß stillgelegten Legacy-Vertrag zurückzuführen sei, der während der Reaktion auf die Schwachstelle im April 2025 nicht deaktiviert wurde. Das Unternehmen gab an, den Legacy-Vertrag dauerhaft deaktiviert zu haben und dass keine Benutzer-Wallets oder Gelder mehr gefährdet seien.
Neben dem anfälligen Brückenvertrag gab Thirdweb Ende 2023 eine weitreichende Schwachstelle in einer häufig verwendeten Open-Source-Bibliothek bekannt. Der Sicherheitsforscher Pascal Caversaccio von SEAL kritisierte den Offenlegungsansatz von Thirdweb und erklärte, dass die Bereitstellung einer Liste anfälliger Verträge böswilligen Akteuren eine Vorwarnung gab.
Laut einer Analyse von ScamSniffer, einer Blockchain-Sicherheitsfirma, waren über 500 Token-Verträge von der Schwachstelle im Jahr 2023 betroffen, und mindestens 25 wurden ausgenutzt.
