Блокчейн второго уровня (L2) Abstract сообщил о нарушении безопасности, из-за которого более 9 тыс. кошельков потеряли примерно $400 тыс. в Ethereum. Инцидент связан с карточной блокчейн-игрой Cardex.
Взлом произошел из-за компрометации кошелька подписывающего сессий Abstract Global Wallet. Все пользователи Cardex использовали этот кошелек и стали уязвимыми из-за утечки ключа во фронтенд-коде Cardex. Это позволило злоумышленнику опустошить кошельки, которые имели активную «сессию» с игрой. Во время игры в Cardex пользователям нужно было подписать транзакцию, так называемую сессию, которая давала приложению полный контроль над средствами кошелька на определенный период времени. Сессия, по сути, означает временное разрешение смарт-контракту (или dApp) выполнять транзакции от имени пользователя, не требуя новых разрешений каждый раз.
Использовав эксплойт, хакер смог обнаруживать текущие открытые сессии жертв, инициировать транзакцию buyShares от имени жертвы и переводить активы на свой счет. Затем он продавал их на платформе Cardex, фактически похитив ETH у жертв.
ERC20-токены и NFT пользователей не пострадали, поскольку сессионные ключи имели доступ только к определенным функциям Cardex.
Cardex запустили в сети Abstract Chain 12 февраля. Это коллекционное и игровое приложение, в котором сейчас проходит активный турнир, что, возможно, вызвало дрейн большего количества кошельков.
СпецпроектыКрипто-фіатний обмінник ObmenAT24 отримав премію PSM Awards 2024. Що оцінювали експерти та користувачіОгляд Oscal Pad 100: бюджетний планшет з амбіціями
Abstract заблокировал доступ к Cardex, чтобы предотвратить дальнейшие несанкционированные транзакции и запустил инструмент для отзыва разрешений (https://revoke.abs.xyz), чтобы пользователи могли отозвать открытые сессии. Также команда обновила контракты Cardex для предотвращения последующих транзакций.
Ненадлежащее управление приватными ключами вызвало многочисленные хакерские атаки, в результате которых только в январе было похищено почти $80 млн.
Источник: Abstract
