El cofundador de Espresso informa sobre un robo de criptomonedas de $30k a través de una vulnerabilidad en el contrato de ThirdWeb

Jill Gunter, cofundadora de Espresso, informó el jueves que su billetera de criptomonedas fue vaciada debido a una vulnerabilidad en un contrato de Thirdweb, según declaraciones publicadas en redes sociales.

Gunter, descrita como una veterana de 10 años en la industria de las criptomonedas, dijo que más de $30,000 en stablecoin USDC fueron robados de su billetera. Los fondos fueron transferidos al protocolo de privacidad Railgun mientras ella estaba preparando una presentación sobre privacidad de criptomonedas para un evento en Washington, D.C., según su relato.

En una publicación posterior, Gunter detalló la investigación sobre el robo. La transacción que vació su dirección jrg.eth ocurrió el 9 de diciembre, con los tokens habiendo sido movidos a la dirección el día anterior en anticipación a la financiación de una inversión ángel planificada para esa semana, declaró.

Aunque los tokens fueron transferidos desde jrg.eth a otra dirección identificada como 0xF215, la transacción mostró una interacción de contrato con 0x81d5, según el análisis de Gunter. Ella identificó el contrato vulnerable como un contrato puente de Thirdweb que había utilizado previamente para una transferencia de $5.

Thirdweb informó a Gunter que se había descubierto una vulnerabilidad en el contrato puente en abril, según reportó. La vulnerabilidad permitía a cualquiera acceder a fondos de usuarios que habían aprobado permisos ilimitados de tokens. El contrato ha sido etiquetado como comprometido en Etherscan, un explorador de blockchain.

Gunter declaró que no sabía si recibiría un reembolso y caracterizó tales riesgos como un peligro ocupacional en la industria de las criptomonedas. Se comprometió a donar cualquier fondo recuperado a la SEAL Security Alliance y animó a otros a considerar donaciones también.

Thirdweb publicó una entrada de blog indicando que el robo resultó de un contrato heredado que no fue correctamente desmantelado durante su respuesta a la vulnerabilidad de abril de 2025. La compañía dijo que ha desactivado permanentemente el contrato heredado y que ninguna billetera de usuario o fondos permanecen en riesgo.

Además del contrato puente vulnerable, Thirdweb reveló una vulnerabilidad de amplio alcance a finales de 2023 en una biblioteca de código abierto comúnmente utilizada. El investigador de seguridad Pascal Caversaccio de SEAL criticó el enfoque de divulgación de Thirdweb, afirmando que proporcionar una lista de contratos vulnerables dio a los actores maliciosos una advertencia anticipada.

Según el análisis de ScamSniffer, una firma de seguridad blockchain, más de 500 contratos de tokens fueron afectados por la vulnerabilidad de 2023 y al menos 25 fueron explotados.