ジル・ガンターの暗号資産ウォレットの盗難
Espressoの共同創設者であるジル・ガンターは、木曜日に彼女の暗号資産ウォレットがThirdweb契約の脆弱性によって空にされたと報告しました。ガンターは、暗号資産業界で10年の経験を持つベテランとして知られており、彼女のウォレットから3万ドル以上のUSDCステーブルコインが盗まれたと述べています。
盗難の詳細と調査
資金は、ワシントンD.C.でのイベントに向けて暗号資産のプライバシーに関するプレゼンテーションを準備している最中に、プライバシープロトコルRailgunに転送されたとのことです。フォローアップの投稿で、ガンターは盗難の調査の詳細を説明しました。彼女のjrg.ethアドレスから資金が引き出された取引は12月9日に発生し、トークンはその週に計画されていたエンジェル投資の資金調達に備えて前日にアドレスに移動されていたと述べています。
トークンはjrg.ethから0xF215という別のアドレスに転送されましたが、取引はガンターの分析によると0x81d5との契約インタラクションを示していました。
彼女は、脆弱な契約を以前に5ドルの転送に使用したThirdwebのブリッジ契約であると特定しました。Thirdwebは、4月にブリッジ契約に脆弱性が発見されたことをガンターに通知したと報告しています。この脆弱性により、無制限のトークン権限を承認したユーザーの資金に誰でもアクセスできるようになっていました。
Thirdwebの対応とセキュリティの懸念
この契約は、ブロックチェーンエクスプローラーEtherscanで妥協されたものとしてラベル付けされています。ガンターは、返金を受けるかどうかはわからないと述べ、こうしたリスクを暗号資産業界の職業上の危険と位置付けました。彼女は、回収した資金をSEALセキュリティアライアンスに寄付することを約束し、他の人々にも寄付を検討するよう促しました。
Thirdwebは、盗難が2025年4月の脆弱性対応中にレガシー契約が適切に廃止されなかったことに起因すると述べるブログ投稿を公開しました。
同社は、レガシー契約を永久に無効化し、ユーザーのウォレットや資金がリスクにさらされていないことを確認しました。脆弱なブリッジ契約に加えて、Thirdwebは2023年末に一般的に使用されるオープンソースライブラリに広範な脆弱性があることを開示しました。
セキュリティ研究者の見解
SEALのセキュリティ研究者パスカル・カヴェルサッチオは、Thirdwebの開示アプローチを批判し、脆弱な契約のリストを提供することが悪意のある行為者に事前警告を与えることになると述べました。ブロックチェーンセキュリティ企業ScamSnifferの分析によると、2023年の脆弱性により500以上のトークン契約が影響を受け、少なくとも25件が悪用されました。
