Vol de Cryptomonnaies de Jill Gunter
Jill Gunter, co-fondatrice d’Espresso, a rapporté jeudi que son portefeuille de cryptomonnaies avait été vidé à cause d’une vulnérabilité dans un contrat Thirdweb, selon des déclarations publiées sur les réseaux sociaux. Gunter, qui possède une expérience de dix ans dans l’industrie de la cryptomonnaie, a indiqué que plus de 30 000 $ en USDC (stablecoin) avaient été volés de son portefeuille.
Détails de l’Incident
Les fonds ont été transférés vers le protocole de confidentialité Railgun alors qu’elle préparait une présentation sur la confidentialité des cryptomonnaies pour un événement à Washington, D.C. Dans un post de suivi, Gunter a détaillé l’enquête sur le vol. La transaction qui a vidé son adresse jrg.eth a eu lieu le 9 décembre, les tokens ayant été déplacés vers une autre adresse la veille, en prévision d’un investissement providentiel prévu pour cette semaine, a-t-elle précisé.
« Bien que les tokens aient été transférés de jrg.eth à une adresse identifiée comme 0xF215, la transaction a montré une interaction avec un contrat identifié comme 0x81d5, selon l’analyse de Gunter. »
Elle a identifié le contrat vulnérable comme un contrat de pont Thirdweb qu’elle avait précédemment utilisé pour un transfert de 5 $. Thirdweb a informé Gunter qu’une vulnérabilité avait été découverte dans le contrat de pont en avril, a-t-elle rapporté. Cette vulnérabilité permettait à quiconque d’accéder aux fonds des utilisateurs ayant approuvé des permissions de token illimitées.
Réactions et Conséquences
Le contrat a depuis été étiqueté comme compromis sur Etherscan, un explorateur de blockchain. Gunter a déclaré qu’elle ne savait pas si elle recevrait un remboursement et a qualifié de tels risques de danger professionnel dans l’industrie de la cryptomonnaie. Elle a promis de faire don de tout fonds récupéré à la SEAL Security Alliance et a encouragé les autres à envisager de faire de même.
Thirdweb a publié un article de blog indiquant que le vol résultait d’un contrat hérité qui n’avait pas été correctement désactivé lors de sa réponse à la vulnérabilité d’avril 2023. La société a déclaré avoir désactivé définitivement le contrat hérité et qu’aucun portefeuille ou fonds d’utilisateur n’était resté à risque.
Vulnérabilités Supplémentaires
En plus du contrat de pont vulnérable, Thirdweb a révélé une vulnérabilité de grande envergure fin 2023 dans une bibliothèque open-source couramment utilisée. Le chercheur en sécurité Pascal Caversaccio de SEAL a critiqué l’approche de divulgation de Thirdweb, affirmant que fournir une liste de contrats vulnérables donnait aux acteurs malveillants un avertissement préalable.
Selon une analyse de ScamSniffer, une société de sécurité blockchain, plus de 500 contrats de tokens ont été affectés par la vulnérabilité de 2023, et au moins 25 ont été exploités.
