Espresso联合创始人报告通过ThirdWeb合约漏洞被盗3万美元加密货币

根据社交媒体上发布的声明，Espresso联合创始人Jill Gunter周四报告称，由于Thirdweb合约中的一个漏洞，她的加密钱包被清空。

被描述为加密货币行业10年资深人士的Gunter表示，她钱包中超过30,000美元的USDC稳定币被盗。根据她的叙述，这些资金被转移到隐私协议Railgun，当时她正在为华盛顿特区的一个活动准备关于加密货币隐私的演讲。

在后续帖子中，Gunter详细说明了对盗窃事件的调查。她表示，清空她的jrg.eth地址的交易发生在12月9日，而这些代币是前一天转入该地址的，目的是为当周计划的一笔天使投资提供资金。

根据Gunter的分析，尽管代币是从jrg.eth转移到另一个标识为0xF215的地址，但交易显示与0x81d5合约有交互。她确认这个有漏洞的合约是她之前用于5美元转账的Thirdweb桥接合约。

她报告说，Thirdweb告知Gunter，该桥接合约的漏洞于4月被发现。这个漏洞允许任何人访问那些已批准无限代币权限的用户的资金。该合约此后在区块链浏览器Etherscan上被标记为已受损。

Gunter表示，她不知道是否会获得赔偿，并将此类风险描述为加密货币行业的职业风险。她承诺将任何追回的资金捐赠给SEAL安全联盟，并鼓励其他人也考虑捐款。

Thirdweb发布了一篇博客文章，称盗窃事件是由于在2025年4月漏洞响应期间未正确停用旧版合约所致。该公司表示已永久禁用了旧版合约，目前没有用户钱包或资金面临风险。

除了易受攻击的桥接合约外，Thirdweb还披露了2023年末在一个常用开源库中存在广泛影响的漏洞。SEAL的安全研究员Pascal Caversaccio批评了Thirdweb的披露方式，称提供易受攻击合约列表给了恶意行为者提前警告。

根据区块链安全公司ScamSniffer的分析，2023年的漏洞影响了超过500个代币合约，其中至少25个被利用。