加密钱包被盗事件
Espresso的联合创始人Jill Gunter在周四报告称,由于Thirdweb合约的漏洞,她的加密钱包被盗,损失超过3万美元的USDC稳定币。根据她在社交媒体上的声明,Gunter是一位在加密货币行业拥有十年经验的资深人士。她表示,盗窃发生时,她正在为在华盛顿特区的一次活动准备关于加密货币隐私的演讲。
盗窃事件的调查
在后续的帖子中,Gunter详细介绍了对盗窃事件的调查。她的jrg.eth地址在12月9日发生了资金被盗的交易,而这些代币是在前一天转入该地址,以便为计划在本周进行的天使投资提供资金。尽管代币从jrg.eth转移到了另一个地址0xF215,但根据Gunter的分析,交易显示与0x81d5的合约互动。她确认该漏洞合约是她之前用于5美元转账的Thirdweb桥接合约。
Thirdweb的漏洞通知
Gunter报告称,Thirdweb曾在4月份通知她,该桥接合约中发现了一个漏洞,允许任何人访问已批准无限代币权限的用户资金。该合约在Etherscan区块链浏览器上已被标记为已被攻破。Gunter表示,她不知道是否会获得赔偿,并将这种风险视为加密货币行业的职业风险。她承诺将任何追回的资金捐赠给SEAL安全联盟,并鼓励其他人也考虑捐款。
Thirdweb的回应
Thirdweb在一篇博客文章中表示,此次盗窃是由于在2025年4月的漏洞响应中未能妥善停用一个遗留合约。该公司表示,已永久禁用该遗留合约,并且没有用户钱包或资金仍处于风险之中。
除了漏洞桥接合约外,Thirdweb还在2023年末披露了一个广泛的漏洞,涉及一个常用的开源库。安全研究员Pascal Caversaccio批评了Thirdweb的披露方式,认为提供易受攻击合约的列表给恶意行为者提供了提前警告。根据区块链安全公司ScamSniffer的分析,2023年的漏洞影响了超过500个代币合约,至少有25个合约遭到利用。
