सोशल मीडिया पर पोस्ट किए गए बयानों के अनुसार, एस्प्रेसो की सह-संस्थापक जिल गंटर ने गुरुवार को बताया कि थर्डवेब कॉन्ट्रैक्ट में एक कमजोरी के कारण उनके क्रिप्टो वॉलेट से पैसे निकाल लिए गए।
सारांश
- क्रिप्टो दिग्गज जिल गंटर ने अपने वॉलेट से 30,000 डॉलर से अधिक के USDC की चोरी की सूचना दी, जिसे 9 दिसंबर को खाली कर दिया गया और रेलगन के माध्यम से भेजा गया।
- यह कमजोरी एक पुराने थर्डवेब कॉन्ट्रैक्ट से उत्पन्न हुई थी जिसने असीमित टोकन अनुमोदनों के साथ फंड तक पहुंच की अनुमति दी।
- स्कैमस्निफर के अनुसार, यह घटना 2023 के एक अलग ओपन-सोर्स लाइब्रेरी दोष के बाद हुई, जिससे 500 से अधिक टोकन कॉन्ट्रैक्ट प्रभावित हुए और कम से कम 25 बार इसका दुरुपयोग किया गया।
क्रिप्टोकरेंसी उद्योग की 10 वर्षीय अनुभवी के रूप में वर्णित गंटर ने कहा कि उनके वॉलेट से 30,000 डॉलर से अधिक के USDC स्टेबलकॉइन चुरा लिए गए। उनके अनुसार, वाशिंगटन, डी.सी. में एक कार्यक्रम के लिए क्रिप्टोकरेंसी गोपनीयता पर एक प्रस्तुति तैयार करते समय धनराशि को गोपनीयता प्रोटोकॉल रेलगन में स्थानांतरित कर दिया गया।
एक फॉलो-अप पोस्ट में, गंटर ने चोरी की जांच का विवरण दिया। उन्होंने बताया कि उनके jrg.eth पते को खाली करने वाला लेनदेन 9 दिसंबर को हुआ था, जिसमें टोकन उस सप्ताह के लिए योजनाबद्ध एंजेल निवेश को वित्त पोषित करने की प्रत्याशा में एक दिन पहले ही पते में स्थानांतरित कर दिए गए थे।
गंटर के विश्लेषण के अनुसार, हालांकि टोकन jrg.eth से 0xF215 के रूप में पहचाने जाने वाले एक अन्य पते पर स्थानांतरित किए गए थे, लेनदेन ने 0x81d5 के साथ एक कॉन्ट्रैक्ट इंटरैक्शन दिखाया। उन्होंने कमजोर कॉन्ट्रैक्ट को एक थर्डवेब ब्रिज कॉन्ट्रैक्ट के रूप में पहचाना जिसे उन्होंने पहले $5 के स्थानांतरण के लिए उपयोग किया था।
उन्होंने बताया कि थर्डवेब ने गंटर को सूचित किया कि अप्रैल में ब्रिज कॉन्ट्रैक्ट में एक कमजोरी का पता चला था। यह कमजोरी किसी को भी उन उपयोगकर्ताओं से धन तक पहुंचने की अनुमति देती थी जिन्होंने असीमित टोकन अनुमतियों को मंजूरी दी थी। तब से कॉन्ट्रैक्ट को एथरस्कैन, एक ब्लॉकचेन एक्सप्लोरर पर समझौता किया गया के रूप में लेबल किया गया है।
गंटर ने कहा कि उन्हें नहीं पता था कि क्या उन्हें प्रतिपूर्ति मिलेगी और उन्होंने ऐसे जोखिमों को क्रिप्टोकरेंसी उद्योग में एक व्यावसायिक खतरे के रूप में वर्णित किया। उन्होंने किसी भी वसूल की गई राशि को SEAL सिक्योरिटी अलायंस को दान करने का वादा किया और दूसरों को भी दान पर विचार करने के लिए प्रोत्साहित किया।
थर्डवेब ने एक ब्लॉग पोस्ट प्रकाशित किया जिसमें कहा गया था कि चोरी अप्रैल 2025 की कमजोरी प्रतिक्रिया के दौरान एक पुराने कॉन्ट्रैक्ट को ठीक से बंद नहीं करने के कारण हुई थी। कंपनी ने कहा कि उसने पुराने कॉन्ट्रैक्ट को स्थायी रूप से अक्षम कर दिया है और कोई भी उपयोगकर्ता वॉलेट या फंड जोखिम में नहीं हैं।
कमजोर ब्रिज कॉन्ट्रैक्ट के अलावा, थर्डवेब ने 2023 के अंत में एक आमतौर पर उपयोग की जाने वाली ओपन-सोर्स लाइब्रेरी में एक व्यापक कमजोरी का खुलासा किया। SEAL के सुरक्षा शोधकर्ता पास्कल कैवरसैसियो ने थर्डवेब के खुलासे के दृष्टिकोण की आलोचना करते हुए कहा कि कमजोर कॉन्ट्रैक्ट्स की एक सूची प्रदान करने से दुर्भावनापूर्ण अभिनेताओं को अग्रिम चेतावनी मिली।
एक ब्लॉकचेन सुरक्षा फर्म, स्कैमस्निफर के विश्लेषण के अनुसार, 2023 की कमजोरी से 500 से अधिक टोकन कॉन्ट्रैक्ट प्रभावित हुए और कम से कम 25 का दुरुपयोग किया गया।
स्रोत: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
