Jill Gunter, Mitbegründerin von Espresso, berichtete am Donnerstag, dass ihre Krypto-Wallet aufgrund einer Sicherheitslücke in einem Thirdweb-Vertrag geleert wurde, laut Aussagen in sozialen Medien.
Zusammenfassung
- Krypto-Veteranin Jill Gunter meldete den Diebstahl von über 30.000 $ in USDC aus ihrer Wallet, die am 09.12. geleert und über Railgun weitergeleitet wurde.
- Die Sicherheitslücke stammte aus einem älteren Thirdweb-Vertrag, der Zugriff auf Gelder mit unbegrenzten Token-Genehmigungen ermöglichte.
- Der Vorfall folgte auf eine separate Schwachstelle in einer Open-Source-Bibliothek von 2023, die laut ScamSniffer mehr als 500 Token-Verträge betraf und mindestens 25 Mal ausgenutzt wurde.
Gunter, die als 10-jährige Veteranin der Kryptowährungsbranche beschrieben wird, sagte, dass mehr als 30.000 $ in USDC Stablecoin aus ihrer Wallet gestohlen wurden. Die Gelder wurden zum Datenschutzprotokoll Railgun transferiert, während sie eine Präsentation über Kryptowährungsdatenschutz für eine Veranstaltung in Washington, D.C. vorbereitete, laut ihrem Bericht.
In einem Folgebeitrag erläuterte Gunter die Untersuchung des Diebstahls. Die Transaktion, die ihre jrg.eth-Adresse leerte, fand am 09.12. statt, wobei die Token am Tag zuvor in Erwartung der Finanzierung einer für diese Woche geplanten Angel-Investition auf die Adresse übertragen worden waren, erklärte sie.
Obwohl die Token von jrg.eth zu einer anderen als 0xF215 identifizierten Adresse übertragen wurden, zeigte die Transaktion laut Gunters Analyse eine Vertragsinteraktion mit 0x81d5. Sie identifizierte den anfälligen Vertrag als einen Thirdweb-Bridge-Vertrag, den sie zuvor für eine 5-$-Überweisung verwendet hatte.
Thirdweb informierte Gunter, dass im April eine Sicherheitslücke im Bridge-Vertrag entdeckt worden war, berichtete sie. Die Sicherheitslücke ermöglichte es jedem, auf Gelder von Benutzern zuzugreifen, die unbegrenzte Token-Berechtigungen genehmigt hatten. Der Vertrag wurde seitdem auf Etherscan, einem Blockchain Explorer, als kompromittiert gekennzeichnet.
Gunter erklärte, sie wisse nicht, ob sie eine Rückerstattung erhalten würde, und bezeichnete solche Risiken als Berufsrisiko in der Kryptowährungsbranche. Sie versprach, alle wiedererlangten Gelder an die SEAL Security Alliance zu spenden und ermutigte andere, ebenfalls Spenden in Betracht zu ziehen.
Thirdweb veröffentlichte einen Blogbeitrag, in dem erklärt wurde, dass der Diebstahl auf einen älteren Vertrag zurückzuführen sei, der während der Reaktion auf die Sicherheitslücke im April 2025 nicht ordnungsgemäß außer Betrieb genommen wurde. Das Unternehmen gab an, den älteren Vertrag dauerhaft deaktiviert zu haben und dass keine Benutzer-Wallets oder Gelder mehr gefährdet seien.
Zusätzlich zum anfälligen Bridge-Vertrag enthüllte Thirdweb Ende 2023 eine weitreichende Sicherheitslücke in einer häufig verwendeten Open-Source-Bibliothek. Sicherheitsforscher Pascal Caversaccio von SEAL kritisierte Thirdwebs Offenlegungsansatz und erklärte, dass die Bereitstellung einer Liste anfälliger Verträge böswilligen Akteuren eine Vorwarnung gab.
Laut einer Analyse von ScamSniffer, einer Blockchain-Sicherheitsfirma, waren über 500 Token-Verträge von der Sicherheitslücke 2023 betroffen und mindestens 25 wurden ausgenutzt.
Quelle: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
