Соучредитель Espresso сообщает о краже криптовалюты на сумму 30k долларов из-за уязвимости контракта ThirdWeb

Джилл Гантер, соучредитель Espresso, сообщила в четверг, что ее криптокошелек был опустошен из-за уязвимости в контракте Thirdweb, согласно заявлениям, опубликованным в социальных сетях.

Гантер, которую описывают как 10-летнего ветерана криптовалютной индустрии, сказала, что из ее кошелька было украдено более 30 000 $ в стейблкоине USDC. По ее словам, средства были переведены в протокол конфиденциальности Railgun, пока она готовила презентацию о конфиденциальности криптовалют для мероприятия в Вашингтоне, округ Колумбия.

В последующем посте Гантер подробно описала расследование кражи. Транзакция, опустошившая ее адрес jrg.eth, произошла 9 декабря, при этом токены были переведены на адрес днем ранее в ожидании финансирования ангельских инвестиций, запланированных на эту неделю, заявила она.

Хотя токены были переведены с jrg.eth на другой адрес, идентифицированный как 0xF215, транзакция показала взаимодействие с контрактом 0x81d5, согласно анализу Гантер. Она определила уязвимый контракт как мостовой контракт Thirdweb, который она ранее использовала для перевода 5 $.

Thirdweb сообщил Гантер, что уязвимость была обнаружена в мостовом контракте в апреле, как она сообщила. Уязвимость позволяла любому получить доступ к средствам пользователей, которые одобрили неограниченные разрешения на токены. С тех пор контракт был помечен как скомпрометированный на Etherscan, обозревателе блокчейна.

Гантер заявила, что не знает, получит ли она возмещение, и охарактеризовала такие риски как профессиональную опасность в криптовалютной индустрии. Она обязалась пожертвовать любые восстановленные средства в SEAL Security Alliance и призвала других также рассмотреть возможность пожертвований.

Thirdweb опубликовал сообщение в блоге, в котором говорится, что кража произошла из-за того, что устаревший контракт не был должным образом выведен из эксплуатации во время реагирования на уязвимость в апреле 2025 года. Компания заявила, что навсегда отключила устаревший контракт и что ни один пользовательский кошелек или средства больше не подвергаются риску.

В дополнение к уязвимому мостовому контракту, Thirdweb раскрыл широкомасштабную уязвимость в конце 2023 года в широко используемой библиотеке с открытым исходным кодом. Исследователь безопасности Паскаль Каверсаччио из SEAL раскритиковал подход Thirdweb к раскрытию информации, заявив, что предоставление списка уязвимых контрактов дало злоумышленникам предварительное предупреждение.

Согласно анализу ScamSniffer, фирмы по безопасности блокчейна, более 500 токен-контрактов были затронуты уязвимостью 2023 года, и по крайней мере 25 из них были использованы.