ผู้ร่วมก่อตั้ง Espresso รายงานการโจรกรรมคริปโตมูลค่า $30k ผ่านช่องโหว่ในสัญญา ThirdWeb
Jill Gunter ผู้ร่วมก่อตั้ง Espresso รายงานเมื่อวันพฤหัสบดีว่ากระเป๋าเงินคริปโตของเธอถูกดูดเงินออกไปเนื่องจากช่องโหว่ในสัญญา Thirdweb ตามคำแถลงที่โพสต์บนโซเชียลมีเดีย
- Jill Gunter ผู้มีประสบการณ์ในวงการคริปโตรายงานการโจรกรรม USDC มูลค่ากว่า 30,000 ดอลลาร์จากกระเป๋าเงินของเธอ ซึ่งถูกดูดออกไปเมื่อวันที่ 9 ธันวาคมและถูกส่งผ่าน Railgun
- ช่องโหว่เกิดจากสัญญา Thirdweb แบบเก่าที่อนุญาตให้เข้าถึงเงินทุนด้วยการอนุมัติโทเค็นแบบไม่จำกัด
- เหตุการณ์นี้เกิดขึ้นหลังจากข้อบกพร่องในไลบรารีโอเพนซอร์สแยกต่างหากในปี 2023 ที่ส่งผลกระทบต่อสัญญาโทเค็นมากกว่า 500 สัญญาและถูกใช้ประโยชน์อย่างน้อย 25 ครั้ง ตามข้อมูลจาก ScamSniffer
Gunter ซึ่งถูกอธิบายว่าเป็นผู้มีประสบการณ์ 10 ปีในอุตสาหกรรมคริปโตเคอเรนซี กล่าวว่า USDC สเตเบิลคอยน์มูลค่ากว่า 30,000 ดอลลาร์ถูกขโมยไปจากกระเป๋าเงินของเธอ เงินทุนถูกโอนไปยังโปรโตคอลความเป็นส่วนตัว Railgun ในขณะที่เธอกำลังเตรียมการนำเสนอเกี่ยวกับความเป็นส่วนตัวของคริปโตเคอเรนซีสำหรับงานในวอชิงตัน ดี.ซี. ตามคำบอกเล่าของเธอ
ในโพสต์ติดตามผล Gunter ได้ให้รายละเอียดเกี่ยวกับการสืบสวนการโจรกรรม ธุรกรรมที่ดูดเงินจากที่อยู่ jrg.eth ของเธอเกิดขึ้นเมื่อวันที่ 9 ธันวาคม โดยโทเค็นถูกย้ายเข้าไปในที่อยู่ในวันก่อนหน้าเพื่อเตรียมการสำหรับการลงทุนแบบเทวดาที่วางแผนไว้สำหรับสัปดาห์นั้น เธอกล่าว
แม้ว่าโทเค็นจะถูกโอนจาก jrg.eth ไปยังที่อยู่อื่นที่ระบุว่าเป็น 0xF215 แต่ธุรกรรมแสดงการโต้ตอบกับสัญญา 0x81d5 ตามการวิเคราะห์ของ Gunter เธอระบุว่าสัญญาที่มีช่องโหว่เป็นสัญญาบริดจ์ของ Thirdweb ที่เธอเคยใช้สำหรับการโอนเงิน 5 ดอลลาร์
Thirdweb แจ้ง Gunter ว่าพบช่องโหว่ในสัญญาบริดจ์ในเดือนเมษายน เธอรายงาน ช่องโหว่นี้อนุญาตให้ใครก็ตามเข้าถึงเงินทุนจากผู้ใช้ที่ได้อนุมัติสิทธิ์โทเค็นแบบไม่จำกัด สัญญาดังกล่าวถูกติดป้ายว่าถูกบุกรุกบน Etherscan ซึ่งเป็นเครื่องมือสำรวจบล็อกเชน
Gunter กล่าวว่าเธอไม่ทราบว่าจะได้รับการชดเชยหรือไม่ และอธิบายความเสี่ยงดังกล่าวว่าเป็นความเสี่ยงทางอาชีพในอุตสาหกรรมคริปโตเคอเรนซี เธอให้คำมั่นว่าจะบริจาคเงินที่ได้รับคืนให้กับ SEAL Security Alliance และสนับสนุนให้คนอื่นๆ พิจารณาการบริจาคด้วยเช่นกัน
Thirdweb ได้เผยแพร่บทความบล็อกระบุว่าการโจรกรรมเกิดจากสัญญาเก่าที่ไม่ได้ถูกยกเลิกอย่างเหมาะสมระหว่างการตอบสนองต่อช่องโหว่ในเดือนเมษายน 2025 บริษัทกล่าวว่าได้ปิดการใช้งานสัญญาเก่าอย่างถาวรแล้ว และไม่มีกระเป๋าเงินหรือเงินทุนของผู้ใช้ที่ยังคงมีความเสี่ยง
นอกเหนือจากสัญญาบริดจ์ที่มีช่องโหว่แล้ว Thirdweb ยังเปิดเผยช่องโหว่ที่มีผลกระทบกว้างขวางในช่วงปลายปี 2023 ในไลบรารีโอเพนซอร์สที่ใช้กันอย่างแพร่หลาย นักวิจัยด้านความปลอดภัย Pascal Caversaccio จาก SEAL วิจารณ์แนวทางการเปิดเผยของ Thirdweb โดยระบุว่าการให้รายการสัญญาที่มีช่องโหว่เป็นการเตือนล่วงหน้าให้กับผู้ไม่หวังดี
ตามการวิเคราะห์โดย ScamSniffer บริษัทด้านความปลอดภัยบล็อกเชน สัญญาโทเค็นมากกว่า 500 สัญญาได้รับผลกระทบจากช่องโหว่ในปี 2023 และอย่างน้อย 25 สัญญาถูกใช้ประโยชน์
คุณอาจชอบเช่นกัน
Bitcoin ต้องกลับมาเหนือ $75,000 หรือเสี่ยงพังทลายลงสู่ $10,000 นักวิเคราะห์กล่าว
ราคา XRP ปรับตัวขึ้น นักเทรดตั้งคำถามถึงความแข็งแกร่งของการฟื้นตัว
