Cofundador da Espresso relata roubo de criptomoedas no valor de 30 mil dólares através de vulnerabilidade no contrato ThirdWeb

Jill Gunter, cofundadora da Espresso, relatou na quinta-feira que sua carteira cripto foi esvaziada devido a uma vulnerabilidade num contrato da Thirdweb, de acordo com declarações publicadas nas redes sociais.

Gunter, descrita como uma veterana de 10 anos na indústria de criptomoedas, disse que mais de 30.000 dólares em stablecoin USDC foram roubados da sua carteira. Os fundos foram transferidos para o protocolo de privacidade Railgun enquanto ela preparava uma apresentação sobre privacidade de criptomoedas para um evento em Washington, D.C., segundo o seu relato.

Numa publicação de seguimento, Gunter detalhou a investigação sobre o roubo. A transação que esvaziou o seu endereço jrg.eth ocorreu em 9 de dezembro, com os tokens tendo sido movidos para o endereço no dia anterior em antecipação ao financiamento de um investimento angel planeado para essa semana, afirmou.

Embora os tokens tenham sido transferidos de jrg.eth para outro endereço identificado como 0xF215, a transação mostrou uma interação de contrato com 0x81d5, de acordo com a análise de Gunter. Ela identificou o contrato vulnerável como um contrato bridge da Thirdweb que havia usado anteriormente para uma transferência de 5 dólares.

A Thirdweb informou Gunter que uma vulnerabilidade havia sido descoberta no contrato bridge em abril, relatou ela. A vulnerabilidade permitia que qualquer pessoa acessasse fundos de usuários que haviam aprovado permissões ilimitadas de tokens. O contrato desde então foi rotulado como comprometido no Etherscan, um Explorador (Navegador) de blockchain.

Gunter afirmou que não sabia se receberia reembolso e caracterizou tais riscos como um perigo ocupacional na indústria de criptomoedas. Ela prometeu doar quaisquer fundos recuperados para a SEAL Security Alliance e encorajou outros a considerarem doações também.

A Thirdweb publicou um post no blog afirmando que o roubo resultou de um contrato legado que não foi devidamente desativado durante sua resposta à vulnerabilidade de abril de 2025. A empresa disse que desativou permanentemente o contrato legado e que nenhuma carteira de usuário ou fundos permanecem em risco.

Além do contrato bridge vulnerável, a Thirdweb divulgou uma vulnerabilidade de amplo alcance no final de 2023 em uma biblioteca de código aberto comumente usada. O pesquisador de segurança Pascal Caversaccio da SEAL criticou a abordagem de divulgação da Thirdweb, afirmando que fornecer uma lista de contratos vulneráveis deu aos atores maliciosos um aviso antecipado.

De acordo com análise da ScamSniffer, uma empresa de segurança blockchain, mais de 500 contratos de tokens foram afetados pela vulnerabilidade de 2023 e pelo menos 25 foram explorados.