Espresso共同創業者がThirdWeb契約の脆弱性を通じて3万ドルの暗号資産盗難を報告

Espressoの共同創業者であるJill Gunterは、ソーシャルメディアに投稿された声明によると、木曜日にThirdwebのコントラクトの脆弱性により彼女の暗号資産ウォレットが流出したと報告しました。

暗号資産業界で10年のベテランと称されるGunterは、彼女のウォレットから3万ドル以上のUSDCステーブルコインが盗まれたと述べました。彼女の説明によると、ワシントンD.C.でのイベントのために暗号資産のプライバシーに関するプレゼンテーションを準備している間に、資金はプライバシープロトコルのRailgunに転送されました。

フォローアップの投稿で、Gunterは盗難の調査について詳細を説明しました。彼女のjrg.ethアドレスが流出した取引は12月9日に発生し、その週に予定されていたエンジェル投資の資金調達を見越して、前日にトークンがそのアドレスに移動されていたと彼女は述べました。

Gunterの分析によると、トークンはjrg.ethから0xF215として識別される別のアドレスに転送されましたが、取引は0x81d5とのコントラクト相互作用を示していました。彼女は、以前5ドルの送金に使用したThirdwebブリッジコントラクトを脆弱なコントラクトとして特定しました。

Gunterの報告によると、Thirdwebは4月にブリッジコントラクトで脆弱性が発見されたことを彼女に通知しました。この脆弱性により、無制限のトークン許可を承認したユーザーからの資金に誰でもアクセスできるようになっていました。そのコントラクトはその後、ブロックエクスプローラーであるEtherscanで侵害されたものとしてラベル付けされています。

Gunterは、返金を受けられるかどうかはわからないと述べ、そのようなリスクを暗号資産業界の職業上の危険と特徴づけました。彼女は回収された資金をSEALセキュリティアライアンスに寄付することを約束し、他の人にも寄付を検討するよう促しました。

Thirdwebはブログ投稿を公開し、この盗難は2025年4月の脆弱性対応中に旧式のコントラクトが適切に廃止されなかったことに起因すると述べました。同社は旧式のコントラクトを永久に無効化し、ユーザーのウォレットや資金がリスクにさらされることはもうないと述べています。

脆弱なブリッジコントラクトに加えて、Thirdwebは2023年後半に一般的に使用されているオープンソースライブラリに広範囲に及ぶ脆弱性を開示しました。SEALのセキュリティ研究者Pascal Caversaccioは、Thirdwebの開示アプローチを批判し、脆弱なコントラクトのリストを提供することで悪意のある行為者に事前警告を与えたと述べました。

ブロックチェーンセキュリティ企業であるScamSnifferの分析によると、2023年の脆弱性により500以上のトークンコントラクトが影響を受け、少なくとも25件が悪用されました。