Pagkawala ng Pondo ni Jill Gunter
Si Jill Gunter, co-founder ng Espresso, ay nag-ulat noong Huwebes na ang kanyang crypto wallet ay naubos dahil sa isang kahinaan sa isang Thirdweb contract, ayon sa mga pahayag na inilathala sa social media. Si Gunter, na inilarawan bilang isang 10-taong beterano sa industriya ng cryptocurrency, ay nagsabing higit sa $30,000 sa USDC stablecoin ang ninakaw mula sa kanyang wallet. Ang mga pondo ay nailipat sa privacy protocol na Railgun habang siya ay naghahanda ng isang presentasyon tungkol sa privacy ng cryptocurrency para sa isang kaganapan sa Washington, D.C., ayon sa kanyang salaysay.
Detalyadong Imbestigasyon
Sa isang follow-up na post, detalyado ni Gunter ang imbestigasyon sa pagnanakaw. Ang transaksyon na nag-ubos sa kanyang jrg.eth address ay naganap noong Disyembre 9, kung saan ang mga token ay nailipat sa address isang araw bago ang inaasahang pagpopondo mula sa isang angel investment na nakatakdang mangyari sa linggong iyon. Bagaman ang mga token ay nailipat mula sa jrg.eth patungo sa ibang address na tinukoy bilang 0xF215, ipinakita ng transaksyon ang isang pakikipag-ugnayan sa kontrata sa 0x81d5, ayon sa pagsusuri ni Gunter. Nakilala niya ang mahina na kontrata bilang isang Thirdweb bridge contract na dati na niyang ginamit para sa isang $5 na paglilipat.
Kahinaan ng Thirdweb
Inanunsyo ng Thirdweb kay Gunter na isang kahinaan ang natuklasan sa bridge contract noong Abril, ayon sa kanyang ulat. Ang kahinaang ito ay nagbigay-daan sa sinuman na ma-access ang mga pondo mula sa mga gumagamit na nag-apruba ng walang limitasyong pahintulot sa token. Ang kontrata ay tinawag na compromised sa Etherscan, isang blockchain explorer. Sinabi ni Gunter na hindi niya alam kung makakatanggap siya ng kabayaran at inilarawan ang mga ganitong panganib bilang isang occupational hazard sa industriya ng cryptocurrency. Nangako siyang idodonate ang anumang mga narekober na pondo sa SEAL Security Alliance at hinikayat ang iba na isaalang-alang din ang mga donasyon.
Reaksyon ng Thirdweb
Nag-publish ang Thirdweb ng isang blog post na nagsasaad na ang pagnanakaw ay resulta ng isang legacy contract na hindi wastong na-decommission noong kanilang tugon sa kahinaan noong Abril 2025. Sinabi ng kumpanya na permanente na nilang pinatay ang legacy contract at walang natitirang user wallets o pondo na nasa panganib. Bukod sa mahina na bridge contract, inihayag ng Thirdweb ang isang malawak na kahinaan noong huli ng 2023 sa isang karaniwang ginagamit na open-source library.
Pagsusuri ng mga Eksperto
Kinondena ng security researcher na si Pascal Caversaccio ng SEAL ang paraan ng pagdedeklara ng Thirdweb, na nagsasabing ang pagbibigay ng listahan ng mga mahihinang kontrata ay nagbigay ng paunang babala sa mga masamang aktor. Ayon sa pagsusuri ng ScamSniffer, isang blockchain security firm, higit sa 500 token contracts ang naapektuhan ng kahinaan noong 2023 at hindi bababa sa 25 ang na-exploit.
