Espresso 공동 창립자 Jill Gunter의 암호화폐 지갑 도난 사건
Espresso의 공동 창립자인 Jill Gunter는 목요일 소셜 미디어에 게시된 성명에서 Thirdweb 계약의 취약점으로 인해 자신의 암호화폐 지갑이 비워졌다고 밝혔습니다. 암호화폐 산업에서 10년의 경력을 가진 Gunter는 자신의 지갑에서 30,000달러 이상의 USDC 스테이블코인이 도난당했다고 전했습니다.
그녀의 설명에 따르면, 자금은 워싱턴 D.C.에서 열리는 행사에서 암호화폐 프라이버시를 주제로 한 발표를 준비하는 동안 프라이버시 프로토콜인 Railgun으로 전송되었습니다.
도난 사건의 경과
후속 게시물에서 Gunter는 도난 사건에 대한 조사를 자세히 설명했습니다.
그녀의 jrg.eth 주소에서 자금이 유출된 거래는 12월 9일에 발생했으며, 해당 토큰은 그 주에 계획된 엔젤 투자 자금을 위해 하루 전인 12월 8일에 해당 주소로 이동되었다고 밝혔습니다. Gunter의 분석에 따르면, 토큰은 jrg.eth에서 0xF215라는 다른 주소로 전송되었지만, 거래는 0x81d5와의 계약 상호작용을 보여주었습니다.
그녀는 취약한 계약이 이전에 5달러 전송을 위해 사용했던 Thirdweb 브리지 계약이라고 확인했습니다. Gunter는 Thirdweb가 4월에 브리지 계약에서 취약점이 발견되었다고 알렸다고 보고했습니다. 이 취약점은 무제한 토큰 권한을 승인한 사용자들의 자금에 접근할 수 있도록 허용했습니다.
Thirdweb의 대응 및 보안 문제
이후 이 계약은 블록체인 탐색기인 Etherscan에서 손상된 것으로 표시되었습니다. Gunter는 환불을 받을 수 있을지 모르겠다고 말하며, 이러한 위험을 암호화폐 산업의 직업적 위험으로 묘사했습니다. 그녀는 회수된 자금을 SEAL Security Alliance에 기부하겠다고 약속하며, 다른 사람들도 기부를 고려해보라고 권장했습니다.
Thirdweb는 블로그 게시물을 통해 도난 사건이 2025년 4월 취약점 대응 과정에서 레거시 계약이 적절히 폐기되지 않은 결과라고 밝혔습니다.
이 회사는 레거시 계약을 영구적으로 비활성화했으며, 사용자 지갑이나 자금이 더 이상 위험에 처해 있지 않다고 전했습니다. 취약한 브리지 계약 외에도 Thirdweb는 2023년 말에 일반적으로 사용되는 오픈 소스 라이브러리에서 광범위한 취약점을 공개했습니다.
SEAL의 보안 연구원 Pascal Caversaccio는 Thirdweb의 공개 접근 방식을 비판하며, 취약한 계약 목록을 제공하는 것이 악의적인 행위자에게 사전 경고를 준다고 주장했습니다. 블록체인 보안 회사인 ScamSniffer의 분석에 따르면, 2023년 취약점으로 인해 500개 이상의 토큰 계약이 영향을 받았으며, 최소 25개가 악용되었습니다.
