Espresso 聯合創始人報告通過 ThirdWeb 合約漏洞被盜 3 萬美元加密貨幣

根據社交媒體上發布的聲明，Espresso 聯合創始人 Jill Gunter 週四報告稱，由於 Thirdweb 合約中的漏洞，她的加密錢包資金被清空。

被描述為加密貨幣行業 10 年資深人士的 Gunter 表示，她錢包中超過 30,000 美元的 USDC 穩定幣被盜。根據她的描述，當她正在為華盛頓特區的一場活動準備關於加密貨幣隱私的演講時，這些資金被轉移到了隱私協議 Railgun。

在後續的帖子中，Gunter 詳細說明了對盜竊事件的調查。她表示，清空她 jrg.eth 地址的交易發生在 12 月 9 日，而這些代幣在前一天就已轉入該地址，是為了準備當週計劃的天使投資提供資金。

根據 Gunter 的分析，雖然代幣是從 jrg.eth 轉移到另一個標識為 0xF215 的地址，但交易顯示與 0x81d5 的合約互動。她將這個有漏洞的合約識別為她之前用於 5 美元轉賬的 Thirdweb 橋接合約。

她報告說，Thirdweb 告知 Gunter，他們在 4 月份發現了橋接合約中的一個漏洞。該漏洞允許任何人訪問已批准無限代幣權限的用戶的資金。此合約已在區塊鏈瀏覽器 Etherscan 上被標記為受損。

Gunter 表示她不知道是否會獲得賠償，並將此類風險描述為加密貨幣行業的職業風險。她承諾將任何追回的資金捐贈給 SEAL Security Alliance，並鼓勵其他人也考慮捐款。

Thirdweb 發布了一篇博客文章，表示盜竊事件是由於在 2025 年 4 月的漏洞應對過程中未正確停用舊版合約所致。該公司表示已永久禁用了舊版合約，且沒有用戶錢包或資金仍處於風險中。

除了有漏洞的橋接合約外，Thirdweb 還在 2023 年末披露了一個廣泛影響常用開源庫的漏洞。SEAL 的安全研究員 Pascal Caversaccio 批評了 Thirdweb 的披露方式，表示提供有漏洞合約的列表給了惡意行為者提前警告。

根據區塊鏈安全公司 ScamSniffer 的分析，2023 年的漏洞影響了超過 500 個代幣合約，其中至少 25 個被利用。