جیل گانتر، همبنیانگذار اسپرسو، روز پنجشنبه گزارش داد که کیف پول ارز دیجیتال او به دلیل آسیبپذیری در قرارداد Thirdweb خالی شده است، طبق بیانیههای منتشر شده در رسانههای اجتماعی.
خلاصه
- جیل گانتر، کهنهکار ارز دیجیتال، سرقت بیش از ۳۰,۰۰۰ دلار USDC از کیف پول خود را گزارش کرد که در ۹ دسامبر خالی شده و از طریق Railgun هدایت شده است.
- این آسیبپذیری از قرارداد قدیمی Thirdweb ناشی میشد که اجازه دسترسی به وجوه با مجوزهای نامحدود توکن را میداد.
- این حادثه پس از یک نقص جداگانه در کتابخانه متنباز ۲۰۲۳ رخ داد که بیش از ۵۰۰ قرارداد توکن را تحت تأثیر قرار داد و طبق گفته ScamSniffer، حداقل ۲۵ بار مورد سوءاستفاده قرار گرفت.
گانتر، که به عنوان یک کهنهکار ۱۰ ساله در صنعت ارز دیجیتال توصیف میشود، گفت بیش از ۳۰,۰۰۰ دلار استیبل کوین USDC از کیف پول او به سرقت رفته است. طبق گفته او، این وجوه به پروتکل حریم خصوصی Railgun منتقل شدند در حالی که او در حال آمادهسازی ارائهای درباره حریم خصوصی ارز دیجیتال برای رویدادی در واشنگتن دی.سی بود.
در پستی پیگیرانه، گانتر جزئیات تحقیق درباره سرقت را شرح داد. تراکنشی که آدرس jrg.eth او را خالی کرد در ۹ دسامبر رخ داد، با توکنهایی که روز قبل به این آدرس منتقل شده بودند تا برای تأمین مالی یک سرمایهگذاری فرشته که برای آن هفته برنامهریزی شده بود، آماده باشند.
اگرچه توکنها از jrg.eth به آدرس دیگری به نام 0xF215 منتقل شدند، اما طبق تحلیل گانتر، تراکنش تعامل قراردادی با 0x81d5 را نشان میداد. او قرارداد آسیبپذیر را به عنوان قرارداد پل Thirdweb شناسایی کرد که قبلاً برای انتقال ۵ دلاری استفاده کرده بود.
گانتر گزارش داد که Thirdweb به او اطلاع داد که آسیبپذیری در قرارداد پل در آوریل کشف شده بود. این آسیبپذیری به هر کسی اجازه میداد به وجوه کاربرانی که مجوزهای نامحدود توکن را تأیید کرده بودند، دسترسی پیدا کند. از آن زمان، این قرارداد در مرورگر بلاک چین Etherscan به عنوان آسیبدیده برچسب خورده است.
گانتر اظهار داشت که نمیداند آیا بازپرداختی دریافت خواهد کرد و چنین خطراتی را به عنوان خطرات شغلی در صنعت ارز دیجیتال توصیف کرد. او متعهد شد که هر وجه بازیابی شده را به اتحاد امنیتی SEAL اهدا کند و دیگران را نیز تشویق کرد که اهدا را در نظر بگیرند.
Thirdweb پستی وبلاگی منتشر کرد که بیان میکرد سرقت ناشی از عدم از رده خارج شدن صحیح قرارداد قدیمی در طول پاسخ به آسیبپذیری آوریل ۲۰۲۵ بوده است. این شرکت گفت که قرارداد قدیمی را به طور دائمی غیرفعال کرده و هیچ کیف پول یا وجوه کاربری در معرض خطر باقی نمانده است.
علاوه بر قرارداد پل آسیبپذیر، Thirdweb در اواخر سال ۲۰۲۳ آسیبپذیری گستردهای را در یک کتابخانه متنباز رایج افشا کرد. پاسکال کاورساچیو، محقق امنیتی SEAL، از رویکرد افشای Thirdweb انتقاد کرد و گفت که ارائه فهرستی از قراردادهای آسیبپذیر به بازیگران بدخواه هشدار پیشاپیش میدهد.
طبق تحلیل ScamSniffer، یک شرکت امنیت بلاک چین، بیش از ۵۰۰ قرارداد توکن تحت تأثیر آسیبپذیری ۲۰۲۳ قرار گرفتند و حداقل ۲۵ مورد مورد سوءاستفاده قرار گرفت.
منبع: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
