Espresso-medeoprichter meldt diefstal van $30k crypto via ThirdWeb-contractkwetsbaarheid
Jill Gunter, medeoprichter van Espresso, meldde donderdag dat haar cryptowallet was leeggehaald vanwege een kwetsbaarheid in een Thirdweb-contract, volgens verklaringen op sociale media.
- Crypto-veteraan Jill Gunter meldde de diefstal van meer dan $30.000 in USDC uit haar wallet, die op 9 december werd leeggehaald en via Railgun werd gerouteerd.
- De kwetsbaarheid kwam voort uit een verouderd Thirdweb-contract dat toegang tot fondsen mogelijk maakte met onbeperkte tokengoedkeuringen.
- Het incident volgde op een afzonderlijk probleem in een open-source bibliotheek uit 2023 dat meer dan 500 tokencontracten trof en volgens ScamSniffer minstens 25 keer werd uitgebuit.
Gunter, beschreven als een veteraan met 10 jaar ervaring in de cryptocurrency-industrie, zei dat meer dan $30.000 in USDC stablecoin uit haar wallet was gestolen. De fondsen werden overgemaakt naar het privacyprotocol Railgun terwijl ze een presentatie over cryptocurrency-privacy voorbereidde voor een evenement in Washington, D.C., volgens haar verklaring.
In een vervolgbericht gaf Gunter details over het onderzoek naar de diefstal. De transactie die haar jrg.eth-adres leeghaalde vond plaats op 9 december, waarbij de tokens de dag ervoor naar het adres waren verplaatst in afwachting van de financiering van een angel-investering die voor die week gepland stond, verklaarde ze.
Hoewel de tokens werden overgedragen van jrg.eth naar een ander adres geïdentificeerd als 0xF215, toonde de transactie een contractinteractie met 0x81d5, volgens Gunters analyse. Ze identificeerde het kwetsbare contract als een Thirdweb-bridge-contract dat ze eerder had gebruikt voor een overdracht van $5.
Thirdweb informeerde Gunter dat er in april een kwetsbaarheid was ontdekt in het bridge-contract, meldde ze. De kwetsbaarheid stelde iedereen in staat om toegang te krijgen tot fondsen van gebruikers die onbeperkte tokenmachtigingen hadden goedgekeurd. Het contract is sindsdien op Etherscan, een blockchain-verkenner, als gecompromitteerd gelabeld.
Gunter verklaarde dat ze niet wist of ze een vergoeding zou ontvangen en omschreef dergelijke risico's als een beroepsrisico in de cryptocurrency-industrie. Ze beloofde om eventueel teruggevorderde fondsen te doneren aan de SEAL Security Alliance en moedigde anderen aan om ook donaties te overwegen.
Thirdweb publiceerde een blogpost waarin staat dat de diefstal het gevolg was van een verouderd contract dat niet correct buiten gebruik was gesteld tijdens de reactie op de kwetsbaarheid in april 2025. Het bedrijf zei dat het het verouderde contract permanent heeft uitgeschakeld en dat geen gebruikerswallets of fondsen meer risico lopen.
Naast het kwetsbare bridge-contract onthulde Thirdweb eind 2023 een verstrekkende kwetsbaarheid in een veelgebruikte open-source bibliotheek. Beveiligingsonderzoeker Pascal Caversaccio van SEAL bekritiseerde de openbaarmakingsaanpak van Thirdweb en stelde dat het verstrekken van een lijst met kwetsbare contracten kwaadwillende actoren vooraf waarschuwde.
Volgens analyse door ScamSniffer, een blockchain-beveiligingsbedrijf, werden meer dan 500 tokencontracten getroffen door de kwetsbaarheid van 2023 en werden er minstens 25 uitgebuit.
Misschien vind je dit ook leuk
HOLY Mining: Een nieuw tijdperk van wereldwijde Bitcoin cloud computing power inluiden
Carvana (CVNA) Aandeel: Jim Cramer Houdt Vast aan Bullish Voorspelling voor Gebruikte Auto Retailer
