La cofondatrice d'Espresso, Jill Gunter, rapporte que $30k crypto a été volé

Jill Gunter, cofondatrice d’Espresso, a rapporté jeudi que son portefeuille crypto avait été vidé en raison d’une vulnérabilité dans un contrat Thirdweb, selon des déclarations publiées sur les réseaux sociaux.

Résumé

• La vétérane de la crypto Jill Gunter a signalé le vol de plus de 30 000 $ en USDC depuis son portefeuille, qui a été vidé le 9 décembre et acheminé via Railgun.
• La vulnérabilité provenait d’un contrat legacy de Thirdweb qui permettait l’accès aux fonds avec des approbations de tokens illimitées.
• L’incident fait suite à une faille dans une bibliothèque open-source en 2023 qui a affecté plus de 500 contrats de tokens et a été exploitée au moins 25 fois, selon ScamSniffer.

Gunter, décrite comme une vétérane de 10 ans dans l’industrie de la cryptomonnaie, a déclaré que plus de 30 000 $ en stablecoin USDC avaient été volés de son portefeuille. Les fonds ont été transférés au protocole de confidentialité Railgun alors qu’elle préparait une présentation sur la confidentialité en cryptomonnaie pour un événement à Washington, D.C., selon son récit.

Dans un message de suivi, Gunter a détaillé l’enquête sur le vol. La transaction qui a vidé son adresse jrg.eth a eu lieu le 9 décembre, les tokens ayant été déplacés dans cette adresse la veille en prévision d’un financement d’un investissement providentiel prévu cette semaine-là, a-t-elle indiqué.

Bien que les tokens aient été transférés de jrg.eth vers une autre adresse identifiée comme 0xF215, la transaction montrait une interaction avec un contrat sur 0x81d5, selon l’analyse de Gunter. Elle a identifié le contrat vulnérable comme un contrat de pont Thirdweb qu’elle avait déjà utilisé pour un $5 transfert.

Thirdweb a informé Gunter qu’une vulnérabilité avait été découverte dans le contrat de pont en avril, a-t-elle rapporté. La vulnérabilité permettait à quiconque d’accéder aux fonds des utilisateurs ayant approuvé des permissions de tokens illimitées. Le contrat a depuis été marqué comme compromis sur Etherscan, un explorateur de blockchain.

Gunter a déclaré qu’elle ne savait pas si elle recevrait une indemnisation et a qualifié ces risques de danger professionnel dans l’industrie de la cryptomonnaie. Elle a promis de donnes tous fonds récupérés à la SEAL Security Alliance et encouragé d’autres à envisager des dons également.

Thirdweb a publié un article de blog indiquant que le vol résultait d’un contrat legacy n’ayant pas été correctement désactivé lors de la réponse à la vulnérabilité d’avril 2025. La société a déclaré avoir désactivé définitivement le contrat legacy et qu’aucun portefeuille ou fonds utilisateur ne restait en danger.

En plus du contrat de pont vulnérable, Thirdweb a révélé une vulnérabilité étendue à la fin de 2023 dans une bibliothèque open-source couramment utilisée. Le chercheur en sécurité Pascal Caversaccio de SEAL a critiqué l’approche de divulgation de Thirdweb, affirmant que fournir une liste de contrats vulnérables donnait un avertissement préalable aux acteurs malveillants.

Selon une analyse de ScamSniffer, une société de sécurité blockchain, plus de 500 contrats de tokens ont été affectés par la vulnérabilité de 2023 et au moins 25 ont été exploités.