Jill Gunter, co-fondatrice d'Espresso, a signalé jeudi que son portefeuille crypto a été vidé en raison d'une vulnérabilité dans un contrat Thirdweb, selon des déclarations publiées sur les réseaux sociaux.
Aperçu
- La vétérane des crypto-monnaies Jill Gunter a signalé le vol de plus de 30 000 $ en USDC de son portefeuille, qui a été vidé le 9 décembre et acheminé via Railgun.
- La vulnérabilité provenait d'un contrat hérité de Thirdweb qui permettait l'accès aux fonds avec des approbations illimitées de jetons.
- L'incident a suivi une faille distincte dans une bibliothèque open-source en 2023 qui a affecté plus de 500 contrats de jetons et a été exploitée au moins 25 fois, selon ScamSniffer.
Gunter, décrite comme une vétérane de 10 ans dans l'industrie des crypto-monnaies, a déclaré que plus de 30 000 $ en stablecoin USDC ont été volés de son portefeuille. Les fonds ont été transférés vers le protocole de confidentialité Railgun alors qu'elle préparait une présentation sur la confidentialité des crypto-monnaies pour un événement à Washington, D.C., selon son récit.
Dans un post de suivi, Gunter a détaillé l'enquête sur le vol. La transaction qui a vidé son adresse jrg.eth s'est produite le 9 décembre, les jetons ayant été déplacés vers l'adresse la veille en prévision du financement d'un investissement angel prévu pour cette semaine, a-t-elle déclaré.
Bien que les jetons aient été transférés de jrg.eth à une autre adresse identifiée comme 0xF215, la transaction montrait une interaction de contrat avec 0x81d5, selon l'analyse de Gunter. Elle a identifié le contrat vulnérable comme étant un contrat de pont Thirdweb qu'elle avait précédemment utilisé pour un transfert de 5 $.
Thirdweb a informé Gunter qu'une vulnérabilité avait été découverte dans le contrat de pont en avril, a-t-elle rapporté. La vulnérabilité permettait à n'importe qui d'accéder aux fonds des utilisateurs qui avaient approuvé des permissions illimitées de jetons. Le contrat a depuis été étiqueté comme compromis sur Etherscan, un explorateur de blockchain.
Gunter a déclaré qu'elle ne savait pas si elle recevrait un remboursement et a caractérisé ces risques comme un risque professionnel dans l'industrie des crypto-monnaies. Elle s'est engagée à donner tous les fonds récupérés à la SEAL Security Alliance et a encouragé d'autres à envisager des dons également.
Thirdweb a publié un article de blog indiquant que le vol résultait d'un contrat hérité qui n'avait pas été correctement désactivé lors de sa réponse à la vulnérabilité d'avril 2025. La société a déclaré avoir définitivement désactivé le contrat hérité et qu'aucun portefeuille ou fonds d'utilisateur ne reste à risque.
En plus du contrat de pont vulnérable, Thirdweb a révélé une vulnérabilité de grande portée fin 2023 dans une bibliothèque open-source couramment utilisée. Le chercheur en sécurité Pascal Caversaccio de SEAL a critiqué l'approche de divulgation de Thirdweb, affirmant que fournir une liste de contrats vulnérables donnait aux acteurs malveillants un avertissement préalable.
Selon l'analyse de ScamSniffer, une entreprise de sécurité blockchain, plus de 500 contrats de jetons ont été affectés par la vulnérabilité de 2023 et au moins 25 ont été exploités.
Source: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
