Robo de Criptomonedas de Jill Gunter
Jill Gunter, cofundadora de Espresso, informó el jueves que su billetera de criptomonedas fue drenada debido a una vulnerabilidad en un contrato de Thirdweb, según declaraciones publicadas en redes sociales. Gunter, quien cuenta con una trayectoria de 10 años en la industria de las criptomonedas, indicó que más de $30,000 en USDC (una stablecoin) fueron robados de su billetera. Los fondos fueron transferidos al protocolo de privacidad Railgun mientras ella se preparaba para una presentación sobre privacidad en criptomonedas en un evento en Washington, D.C.
Detalles del Robo
En una publicación de seguimiento, Gunter detalló la investigación sobre el robo. La transacción que drenó su dirección jrg.eth ocurrió el 9 de diciembre, con los tokens habiendo sido movidos a la dirección el día anterior, en anticipación a financiar una inversión ángel planeada para esa semana. Aunque los tokens fueron transferidos de jrg.eth a otra dirección identificada como 0xF215, la transacción mostró una interacción de contrato con 0x81d5, según el análisis realizado por Gunter. Ella identificó el contrato vulnerable como un contrato puente de Thirdweb que había utilizado anteriormente para una transferencia de $5.
Vulnerabilidad y Respuesta de Thirdweb
Thirdweb informó a Gunter que se había descubierto una vulnerabilidad en el contrato puente en abril, según reportes. Esta vulnerabilidad permitía a cualquier persona acceder a los fondos de los usuarios que habían aprobado permisos de token ilimitados. El contrato ha sido etiquetado como comprometido en Etherscan, un explorador de blockchain. Gunter declaró que no sabía si recibiría un reembolso y caracterizó tales riesgos como un peligro ocupacional en la industria de las criptomonedas. Se comprometió a donar cualquier fondo recuperado a la SEAL Security Alliance y animó a otros a considerar hacer donaciones también.
Declaraciones de Thirdweb y Críticas
Thirdweb publicó una entrada en su blog afirmando que el robo resultó de un contrato legado que no fue desactivado adecuadamente durante su respuesta a la vulnerabilidad de abril de 2025.
La compañía aseguró que ha deshabilitado permanentemente el contrato legado y que ninguna billetera de usuario o fondos siguen en riesgo. Además del contrato puente vulnerable, Thirdweb divulgó una vulnerabilidad de amplio alcance a finales de 2023 en una biblioteca de código abierto comúnmente utilizada. El investigador de seguridad Pascal Caversaccio de SEAL criticó el enfoque de divulgación de Thirdweb, afirmando que proporcionar una lista de contratos vulnerables dio a los actores maliciosos una advertencia anticipada. Según un análisis de ScamSniffer, una firma de seguridad blockchain, más de 500 contratos de tokens se vieron afectados por la vulnerabilidad de 2023 y al menos 25 fueron explotados.
