Кража средств Джилл Гунтер
Джилл Гунтер, соучредитель Espresso, сообщила в четверг, что ее криптокошелек был опустошен из-за уязвимости в контракте Thirdweb. Об этом она написала в социальных сетях. Гунтер, имеющая 10-летний опыт работы в криптоиндустрии, заявила, что более $30,000 в стейблкоине USDC были украдены из ее кошелька. Средства были переведены в протокол конфиденциальности Railgun в то время, когда она готовила презентацию о конфиденциальности криптовалюты для мероприятия в Вашингтоне, округ Колумбия.
Детали расследования
В последующем посте Гунтер подробно рассказала о расследовании кражи. Транзакция, которая опустошила ее адрес jrg.eth, произошла 9 декабря. Токены были перемещены на другой адрес за день до этого в ожидании финансирования ангельских инвестиций, запланированных на ту неделю. Хотя токены были переведены с jrg.eth на адрес, идентифицированный как 0xF215, транзакция показала взаимодействие с контрактом 0x81d5, согласно анализу Гунтер. Она идентифицировала уязвимый контракт как мостовой контракт Thirdweb, который ранее использовала для перевода $5.
Thirdweb проинформировала Гунтер о том, что уязвимость была обнаружена в мостовом контракте в апреле. Эта уязвимость позволяла любому получать доступ к средствам пользователей, которые одобрили неограниченные разрешения на токены.
Контракт с тех пор был помечен как скомпрометированный на Etherscan, блокчейн-эксплорере. Гунтер заявила, что не знает, получит ли она возмещение, и охарактеризовала такие риски как профессиональный риск в криптоиндустрии. Она пообещала пожертвовать любые восстановленные средства Альянсу безопасности SEAL и призвала других также рассмотреть возможность пожертвований.
Ответ Thirdweb
Thirdweb опубликовала блог, в котором говорится, что кража произошла из-за того, что устаревший контракт не был должным образом выведен из эксплуатации во время реагирования на уязвимость в апреле 2025 года. Компания заявила, что она навсегда отключила устаревший контракт и что ни один кошелек пользователей или средства больше не находятся под угрозой.
В дополнение к уязвимому мостовому контракту Thirdweb раскрыла широкомасштабную уязвимость в конце 2023 года в общепринятой библиотеке с открытым исходным кодом. Исследователь безопасности Паскаль Каверсаччо из SEAL раскритиковал подход Thirdweb к раскрытию информации, заявив, что предоставление списка уязвимых контрактов дало злонамеренным актерам предварительное предупреждение.
Согласно анализу ScamSniffer, компании по безопасности блокчейнов, более 500 контрактов токенов пострадали от уязвимости 2023 года, и как минимум 25 из них были использованы в атаках.
