Espressoの共同創設者であるJill Gunterは、ソーシャルメディアに投稿された声明によると、木曜日にThirdwebコントラクトの脆弱性により彼女の暗号資産ウォレットが流出したと報告しました。
概要
- 暗号資産業界のベテランであるJill Gunterは、12月9日に彼女のウォレットから3万ドル以上のUSDCが盗まれ、Railgunを通じて送金されたと報告しました。
- この脆弱性は、無制限のトークン承認でファンドへのアクセスを許可した旧式のThirdwebコントラクトに起因していました。
- ScamSnifferによると、この事件は2023年に発生した別のオープンソースライブラリの欠陥に続くもので、500以上のトークンコントラクトに影響し、少なくとも25回悪用されました。
暗号資産業界で10年のベテランと称されるGunterは、彼女のウォレットから3万ドル以上のUSDCステーブルコインが盗まれたと述べました。彼女の説明によると、ワシントンD.C.でのイベントのために暗号資産のプライバシーに関するプレゼンテーションを準備している間に、資金はプライバシープロトコルのRailgunに転送されました。
フォローアップの投稿で、Gunterは盗難の調査について詳細を説明しました。彼女のjrg.ethアドレスから資金が流出した取引は12月9日に発生し、その週に予定されていたエンジェル投資の資金調達を見越して、前日にトークンがそのアドレスに移動されていたと彼女は述べました。
Gunterの分析によると、トークンはjrg.ethから0xF215として識別される別のアドレスに転送されましたが、取引は0x81d5とのコントラクト相互作用を示していました。彼女は、脆弱性のあるコントラクトを、以前5ドルの送金に使用したThirdwebブリッジコントラクトであると特定しました。
Gunterの報告によると、Thirdwebは4月にブリッジコントラクトで脆弱性が発見されたことを彼女に通知しました。この脆弱性により、無制限のトークン許可を承認したユーザーからの資金に誰でもアクセスできるようになっていました。そのコントラクトはその後、ブロックエクスプローラーであるEtherscanで危険と表示されています。
Gunterは、返金を受けられるかどうかはわからないと述べ、このようなリスクを暗号資産業界における職業上の危険性と特徴づけました。彼女は回収された資金をSEALセキュリティアライアンスに寄付することを約束し、他の人にも寄付を検討するよう促しました。
Thirdwebはブログ投稿を公開し、この盗難は2025年4月の脆弱性対応中に旧式のコントラクトが適切に廃止されなかったことに起因すると述べました。同社は旧式のコントラクトを永久に無効化し、ユーザーのウォレットや資金がリスクにさらされることはもうないと述べています。
脆弱性のあるブリッジコントラクトに加えて、Thirdwebは2023年後半に一般的に使用されているオープンソースライブラリに広範囲に及ぶ脆弱性を開示しました。SEALのセキュリティ研究者Pascal Caversaccioは、Thirdwebの開示アプローチを批判し、脆弱なコントラクトのリストを提供することで悪意のある行為者に事前警告を与えたと述べました。
ブロックチェーンセキュリティ企業であるScamSnifferの分析によると、2023年の脆弱性により500以上のトークンコントラクトが影響を受け、少なくとも25件が悪用されました。
Source: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
