Jill Gunter, co-founder Espresso, melaporkan pada hari Kamis bahwa dompet kripto miliknya dikuras karena kerentanan dalam kontrak Thirdweb, menurut pernyataan yang diposting di media sosial.
Ringkasan
- Veteran kripto Jill Gunter melaporkan pencurian lebih dari $30.000 dalam USDC dari dompetnya, yang dikuras pada 9 Desember dan dialihkan melalui Railgun.
- Kerentanan berasal dari kontrak lama Thirdweb yang memungkinkan akses ke dana dengan persetujuan token tak terbatas.
- Insiden ini mengikuti kerentanan terpisah pada perpustakaan open-source 2023 yang mempengaruhi lebih dari 500 kontrak token dan dieksploitasi setidaknya 25 kali, menurut ScamSniffer.
Gunter, yang digambarkan sebagai veteran industri cryptocurrency selama 10 tahun, mengatakan lebih dari $30.000 dalam stablecoin USDC dicuri dari dompetnya. Dana tersebut ditransfer ke protokol privasi Railgun saat dia sedang mempersiapkan presentasi tentang privasi cryptocurrency untuk acara di Washington, D.C., menurut keterangannya.
Dalam postingan lanjutan, Gunter merinci investigasi pencurian tersebut. Transaksi yang menguras alamat jrg.eth miliknya terjadi pada 9 Desember, dengan token yang telah dipindahkan ke alamat tersebut sehari sebelumnya sebagai antisipasi pendanaan investasi angel yang direncanakan untuk minggu itu, katanya.
Meskipun token ditransfer dari jrg.eth ke alamat lain yang diidentifikasi sebagai 0xF215, transaksi tersebut menunjukkan interaksi kontrak dengan 0x81d5, menurut analisis Gunter. Dia mengidentifikasi kontrak yang rentan sebagai kontrak jembatan Thirdweb yang sebelumnya dia gunakan untuk transfer $5.
Thirdweb menginformasikan Gunter bahwa kerentanan telah ditemukan dalam kontrak jembatan pada bulan April, lapornya. Kerentanan tersebut memungkinkan siapa saja untuk mengakses dana dari pengguna yang telah menyetujui izin token tak terbatas. Kontrak tersebut sejak itu telah dilabeli sebagai dikompromikan di Etherscan, sebuah penjelajah blockchain.
Gunter menyatakan dia tidak tahu apakah dia akan menerima penggantian dan menggambarkan risiko seperti itu sebagai bahaya pekerjaan di industri cryptocurrency. Dia berjanji untuk menyumbangkan dana yang dipulihkan ke SEAL Security Alliance dan mendorong orang lain untuk mempertimbangkan donasi juga.
Thirdweb menerbitkan postingan blog yang menyatakan pencurian tersebut diakibatkan oleh kontrak lama yang tidak dihentikan dengan benar selama respons kerentanan April 2025. Perusahaan tersebut mengatakan telah menonaktifkan secara permanen kontrak lama dan bahwa tidak ada dompet pengguna atau dana yang tetap berisiko.
Selain kontrak jembatan yang rentan, Thirdweb mengungkapkan kerentanan yang luas pada akhir 2023 dalam perpustakaan open-source yang umum digunakan. Peneliti keamanan Pascal Caversaccio dari SEAL mengkritik pendekatan pengungkapan Thirdweb, menyatakan bahwa memberikan daftar kontrak yang rentan memberi peringatan awal kepada aktor jahat.
Menurut analisis oleh ScamSniffer, sebuah perusahaan keamanan blockchain, lebih dari 500 kontrak token terpengaruh oleh kerentanan 2023 dan setidaknya 25 dieksploitasi.
Sumber: https://crypto.news/espresso-30000-crypto-theft-thirdweb-contract-stolen/
