Đồng sáng lập Espresso báo cáo vụ trộm tiền mã hóa trị giá 30k thông qua lỗ hổng hợp đồng ThirdWeb

Jill Gunter, đồng sáng lập của Espresso, đã báo cáo vào hôm thứ Năm rằng ví tiền mã hóa của cô đã bị rút cạn do một lỗ hổng trong hợp đồng Thirdweb, theo các tuyên bố được đăng trên mạng xã hội.

Gunter, được mô tả là một chuyên gia với 10 năm kinh nghiệm trong ngành tiền mã hóa, cho biết hơn 30,000 đô la stablecoin USDC đã bị đánh cắp từ ví của cô. Theo lời kể của cô, số tiền này đã được chuyển đến giao thức bảo mật Railgun trong khi cô đang chuẩn bị một bài thuyết trình về quyền riêng tư tiền mã hóa cho một sự kiện ở Washington, D.C.

Trong một bài đăng tiếp theo, Gunter đã chi tiết về cuộc điều tra vụ trộm. Giao dịch rút cạn địa chỉ jrg.eth của cô xảy ra vào ngày 9 tháng 12, với các token đã được chuyển vào địa chỉ một ngày trước đó để chuẩn bị tài trợ cho một khoản đầu tư thiên thần được lên kế hoạch trong tuần đó, cô cho biết.

Mặc dù các token đã được chuyển từ jrg.eth sang một địa chỉ khác được xác định là 0xF215, giao dịch cho thấy một tương tác hợp đồng với 0x81d5, theo phân tích của Gunter. Cô đã xác định hợp đồng dễ bị tấn công là một hợp đồng cầu nối Thirdweb mà cô đã sử dụng trước đó cho một giao dịch chuyển 5 đô la.

Thirdweb đã thông báo cho Gunter rằng một lỗ hổng đã được phát hiện trong hợp đồng cầu nối vào tháng 4, cô báo cáo. Lỗ hổng này cho phép bất kỳ ai cũng có thể truy cập vào tiền từ người dùng đã phê duyệt quyền token không giới hạn. Kể từ đó, hợp đồng đã được gắn nhãn là bị xâm phạm trên Etherscan, một Block Explorer.

Gunter cho biết cô không biết liệu mình có nhận được bồi thường hay không và mô tả những rủi ro như vậy là một mối nguy hiểm nghề nghiệp trong ngành tiền mã hóa. Cô cam kết sẽ quyên góp bất kỳ khoản tiền nào thu hồi được cho SEAL Security Alliance và khuyến khích những người khác cũng xem xét quyên góp.

Thirdweb đã đăng một bài viết trên blog cho biết vụ trộm là do một hợp đồng cũ không được ngừng hoạt động đúng cách trong quá trình phản hồi lỗ hổng tháng 4 năm 2025. Công ty cho biết họ đã vô hiệu hóa vĩnh viễn hợp đồng cũ và không còn ví người dùng hoặc tiền nào còn gặp rủi ro.

Ngoài hợp đồng cầu nối dễ bị tấn công, Thirdweb đã tiết lộ một lỗ hổng có phạm vi rộng vào cuối năm 2023 trong một thư viện mã nguồn mở thường được sử dụng. Nhà nghiên cứu bảo mật Pascal Caversaccio của SEAL đã chỉ trích cách tiếp cận tiết lộ của Thirdweb, cho rằng việc cung cấp danh sách các hợp đồng dễ bị tấn công đã cảnh báo trước cho các tác nhân độc hại.

Theo phân tích của ScamSniffer, một công ty bảo mật blockchain, hơn 500 hợp đồng token đã bị ảnh hưởng bởi lỗ hổng năm 2023 và ít nhất 25 hợp đồng đã bị khai thác.