Thông Báo Về Vụ Trộm Từ Ví Tiền Điện Tử
Jill Gunter, người đồng sáng lập Espresso, đã thông báo vào thứ Năm rằng ví tiền điện tử của cô đã bị rút cạn do một lỗ hổng trong hợp đồng Thirdweb, theo các tuyên bố được đăng trên mạng xã hội. Gunter, được biết đến như một chuyên gia có 10 năm kinh nghiệm trong ngành công nghiệp tiền điện tử, cho biết hơn 30.000 USD trong stablecoin USDC đã bị đánh cắp từ ví của cô. Các khoản tiền này đã được chuyển đến giao thức bảo mật Railgun trong khi cô đang chuẩn bị cho một bài thuyết trình về quyền riêng tư trong tiền điện tử tại một sự kiện ở Washington, D.C.
Chi Tiết Về Cuộc Điều Tra
Trong một bài đăng tiếp theo, Gunter đã chi tiết hóa cuộc điều tra về vụ trộm. Giao dịch rút cạn từ địa chỉ jrg.eth của cô xảy ra vào ngày 9 tháng 12, với các token đã được chuyển vào địa chỉ này vào ngày hôm trước để chuẩn bị cho một khoản đầu tư thiên thần dự kiến trong tuần đó. Mặc dù các token đã được chuyển từ jrg.eth sang một địa chỉ khác được xác định là 0xF215, giao dịch cho thấy có sự tương tác hợp đồng với địa chỉ 0x81d5, theo phân tích của Gunter. Cô đã xác định hợp đồng dễ bị tổn thương là một hợp đồng cầu nối Thirdweb mà cô đã từng sử dụng cho một giao dịch chuyển 5 USD.
Thông Tin Từ Thirdweb
Thirdweb đã thông báo cho Gunter rằng một lỗ hổng đã được phát hiện trong hợp đồng cầu nối vào tháng 4. Lỗ hổng này cho phép bất kỳ ai truy cập vào quỹ của người dùng đã phê duyệt quyền truy cập token không giới hạn. Hợp đồng này đã được đánh dấu là bị xâm phạm trên Etherscan, một công cụ khám phá blockchain. Gunter cho biết cô không biết liệu mình có nhận được bồi thường hay không và đã mô tả những rủi ro như vậy là một nguy cơ nghề nghiệp trong ngành công nghiệp tiền điện tử. Cô đã cam kết quyên góp bất kỳ khoản tiền nào được phục hồi cho SEAL Security Alliance và khuyến khích người khác cũng xem xét việc quyên góp.
Phản Hồi Từ Thirdweb
Thirdweb đã công bố một bài viết trên blog cho biết vụ trộm là kết quả của việc một hợp đồng cũ không được ngừng hoạt động đúng cách sau khi phát hiện lỗ hổng vào tháng 4 năm 2025. Công ty cho biết họ đã vô hiệu hóa vĩnh viễn hợp đồng cũ và khẳng định rằng không có ví người dùng hoặc quỹ nào còn gặp rủi ro. Ngoài hợp đồng cầu nối dễ bị tổn thương, Thirdweb cũng đã tiết lộ một lỗ hổng nghiêm trọng vào cuối năm 2023 trong một thư viện mã nguồn mở thường được sử dụng.
Nhà nghiên cứu bảo mật Pascal Caversaccio của SEAL đã chỉ trích cách tiếp cận công bố của Thirdweb, cho rằng việc cung cấp danh sách các hợp đồng dễ bị tổn thương đã tạo cơ hội cho các tác nhân xấu.
Theo phân tích của ScamSniffer, một công ty bảo mật blockchain, hơn 500 hợp đồng token đã bị ảnh hưởng bởi lỗ hổng năm 2023 và ít nhất 25 hợp đồng đã bị khai thác.
