การขโมยกระเป๋าเงินคริปโตของ Jill Gunter
Jill Gunter ผู้ร่วมก่อตั้ง Espresso รายงานเมื่อวันพฤหัสบดีว่า กระเป๋าเงินคริปโตของเธอถูกขโมย เนื่องจากช่องโหว่ในสัญญา Thirdweb ตามคำแถลงที่โพสต์ในโซเชียลมีเดีย Gunter ซึ่งมีประสบการณ์ในอุตสาหกรรมคริปโตเคอเรนซีมากกว่า 10 ปี กล่าวว่า มีเงินมากกว่า $30,000 ใน USDC stablecoin ถูกขโมยจากกระเป๋าเงินของเธอ โดยเงินดังกล่าวถูกโอนเข้าที่โปรโตคอลความเป็นส่วนตัว Railgun ขณะที่เธอกำลังเตรียมนำเสนอเกี่ยวกับความเป็นส่วนตัวของคริปโตเคอเรนซีสำหรับงานในวอชิงตัน ดี.ซี.
รายละเอียดการสอบสวนการขโมย
ตามบัญชีของเธอ ในโพสต์ติดตามผล Gunter ได้ให้รายละเอียดเกี่ยวกับการสอบสวนการขโมย โดยการทำธุรกรรมที่ทำให้ที่อยู่ jrg.eth ของเธอถูกระบายเกิดขึ้นเมื่อวันที่ 9 ธันวาคม โดยโทเค็นถูกย้ายไปยังที่อยู่ดังกล่าวในวันก่อนหน้าเพื่อเตรียมการสำหรับการลงทุนจากนักลงทุนแองเจลที่วางแผนไว้ในสัปดาห์นั้น เธอกล่าวว่า แม้ว่าจะมีการโอนโทเค็นจาก jrg.eth ไปยังที่อยู่ที่ระบุว่า 0xF215 แต่การทำธุรกรรมแสดงให้เห็นถึงการมีปฏิสัมพันธ์กับสัญญา 0x81d5.
การวิเคราะห์ช่องโหว่
ตามการวิเคราะห์ของ Gunter เธอระบุว่าสัญญาที่มีช่องโหว่คือสัญญา Thirdweb bridge ที่เธอเคยใช้สำหรับการโอน $5. Thirdweb แจ้ง Gunter ว่ามีการค้นพบช่องโหว่ในสัญญา bridge ในเดือนเมษายน เธอรายงานว่า ช่องโหว่นี้ทำให้ใครก็ตามสามารถเข้าถึงเงินจากผู้ใช้ที่อนุมัติสิทธิ์โทเค็นไม่จำกัด สัญญาดังกล่าวถูกระบุว่าเป็นสัญญาที่ถูกโจมตีบน Etherscan ซึ่งเป็นผู้ตรวจสอบบล็อกเชน.
ผลกระทบและการตอบสนอง
Gunter กล่าวว่าตนไม่ทราบว่าจะได้รับการชดใช้หรือไม่ และได้อธิบายความเสี่ยงดังกล่าวว่าเป็น อันตรายจากอาชีพในอุตสาหกรรมคริปโตเคอเรนซี. เธอสัญญาว่าจะบริจาคเงินที่กู้คืนได้ให้กับ SEAL Security Alliance และกระตุ้นให้ผู้อื่นพิจารณาบริจาคเช่นกัน.
การตอบสนองจาก Thirdweb
Thirdweb ได้เผยแพร่บล็อกโพสต์ที่ระบุว่าการขโมยเกิดจากสัญญาเก่าที่ไม่ได้ถูกยกเลิกอย่างเหมาะสมในระหว่างการตอบสนองต่อช่องโหว่ในเดือนเมษายน 2025 บริษัทกล่าวว่าได้ปิดการใช้งานสัญญาเก่าอย่างถาวรและไม่มีความเสี่ยงต่อกระเป๋าเงินหรือเงินของผู้ใช้ นอกจากนี้ยังมีการเปิดเผยช่องโหว่ที่กว้างขวางในสัญญา bridge ที่มีช่องโหว่ Thirdweb ได้เปิดเผยในช่วงปลายปี 2023 ในห้องสมุดโอเพนซอร์สที่ใช้กันทั่วไป.
ความคิดเห็นจากนักวิจัยด้านความปลอดภัย
นักวิจัยด้านความปลอดภัย Pascal Caversaccio จาก SEAL วิจารณ์วิธีการเปิดเผยของ Thirdweb โดยระบุว่าการให้รายชื่อสัญญาที่มีช่องโหว่ทำให้ผู้กระทำผิดมีการเตือนล่วงหน้า.
ข้อมูลจาก ScamSniffer
ตามการวิเคราะห์ของ ScamSniffer บริษัทด้านความปลอดภัยบล็อกเชน พบว่าสัญญาโทเค็นมากกว่า 500 สัญญา ได้รับผลกระทบจากช่องโหว่ในปี 2023 และอย่างน้อย 25 สัญญา ถูกใช้ประโยชน์.
