- дата публікації
Співзасновник Espresso повідомив про викрадення $30 тисяч у криптовалюті через вразливість контракту ThirdWeb
- джерело
- сайт
- crypto.news
- відкрити джерело
Джилл Гунтер, співзасновниця Espresso, повідомила про викрадення понад 30 000 доларів у USDC з її криптогаманця через вразливість у контракті Thirdweb.
Інцидент стався 9 грудня, коли кошти були перераховані через протокол Railgun.
Вразливість виникла в застарілому контракті Thirdweb, що дозволяв доступ до коштів з безлімітними дозволами на токени. Гунтер, яка має десятирічний досвід у криптоіндустрії, розповіла, що кошти були викрадені під час підготовки до виступу про конфіденційність криптовалют на заході у Вашингтоні.
Вона зазначила, що транзакція, яка зняла кошти з її адреси jrg.eth, сталася 9 грудня, а токени були перенесені туди напередодні для фінансування geplanuвaної інвестиції. Гунтер підкреслила, що в процесі аналізу виявила, що токени були перераховані на іншу адресу, але транзакція вказувала на взаємодію з вразливим контрактом Thirdweb.
У компанії поінформували її про вразливість у квітні, що дозволяло зловмисникам отримувати доступ до коштів користувачів з безлімітними дозволами. Хоча Гунтер не впевнена в отриманні відшкодування, вона визнала, що такі ризики є частиною роботи в криптоіндустрії.
Вона пообіцяла пожертвувати будь-які повернені кошти в Альянс безпеки SEAL та закликала інших розглянути можливість пожертв. Thirdweb оприлюднила заяву, що крадіжка сталася через неналежне завершення роботи застарілого контракту у відповідь на вразливість, виявлену в квітні 2025 року.
Компанія назвала контракт скомпрометованим, проте запевнила, що жодні гаманці користувачів або кошти більше не підлягають ризику. Окрім цього, Thirdweb виявила поширену вразливість у широко використовуваній бібліотеці з відкритим кодом наприкінці 2023 року.
Дослідник безпеки Паскаль Каверсаччо критикував підхід Thirdweb до розкриття вразливостей, зазначаючи, що надання списку вразливих контрактів давало злочинцям попереджувальну інформацію.
За даними ScamSniffer, понад 500 токен-контрактів зазнали впливу від цієї вразливості, і щонайменше 25 з них були використані зловмисниками.