Layer 2-сеть Abstract опубликовала предварительный отчет о взломе, затронувшем 9000 кошельков, которые взаимодействовали с блокчейн-игрой Cardex, работающей на платформе. В результате атаки злоумышленник похитил $400 тыс.
Как атаковали Cardex
Согласно отчету, злоумышленник воспользовался уязвимостью session key — механизма, который позволяет приложениям временно управлять кошельками пользователей. Проблема возникла из-за утечки ключа в коде фронтенда Cardex, что дало хакеру возможность подписывать транзакции от имени пользователей.
Атакующий использовал скомпрометированный session signer wallet, который был общим для всех пользователей Cardex. Это позволило ему выводить средства, продавая токены за ETH. Однако, по данным Abstract, ERC-20 токены и NFT не пострадали.
Ошибка не в Abstract, а в Cardex
В Abstract подчеркнули, что уязвимость не связана с самой сетью или кошельком Abstract Global Wallet (AGW), а возникла из-за некорректного управления ключами доступа в Cardex.
Session keys предназначены для ограниченного делегирования прав приложениям, но если их неправильно настроить, они могут стать уязвимостью. В случае Cardex злоумышленник получил полный доступ к кошелькам пользователей, что привело к утечке средств.
Разработчики Abstract призвали пользователей не взаимодействовать с Cardex и отозвать все активные сессии. Также теперь все проекты, использующие session keys в экосистеме Abstract, должны пройти аудит безопасности.
Читайте также:
- Команда zkLend пытается вернуть украденные $5 млн и молчит о безопасности депозитов
- Безопасность BNB Chain под вопросом — Four.Meme взломана, украдено $183 тыс.
- Биржа Xeggex заморозила счета пользователей после атаки хакеров. Средства клиентов под угрозой?
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.