Взлом Abstract: хакеры украли $400 тыс. игроков Cardex из-за «утерянного» ключа

Блокчейн второго уровня (L2) Abstract сообщил о нарушении безопасности, из-за которого более 9 тыс. кошельков потеряли примерно $400 тыс. в Ethereum. Инцидент связан с карточной блокчейн-игрой Cardex.

Взлом произошел из-за компрометации кошелька подписывающего сессий Abstract Global Wallet. Все пользователи Cardex использовали этот кошелек и стали уязвимыми из-за утечки ключа во фронтенд-коде Cardex. Это позволило злоумышленнику опустошить кошельки, которые имели активную «сессию» с игрой. Во время игры в Cardex пользователям нужно было подписать транзакцию, так называемую сессию, которая давала приложению полный контроль над средствами кошелька на определенный период времени. Сессия, по сути, означает временное разрешение смарт-контракту (или dApp) выполнять транзакции от имени пользователя, не требуя новых разрешений каждый раз.

Использовав эксплойт, хакер смог обнаруживать текущие открытые сессии жертв, инициировать транзакцию buyShares от имени жертвы и переводить активы на свой счет. Затем он продавал их на платформе Cardex, фактически похитив ETH у жертв.

ERC20-токены и NFT пользователей не пострадали, поскольку сессионные ключи имели доступ только к определенным функциям Cardex.

Cardex запустили в сети Abstract Chain 12 февраля. Это коллекционное и игровое приложение, в котором сейчас проходит активный турнир, что, возможно, вызвало дрейн большего количества кошельков.

Abstract заблокировал доступ к Cardex, чтобы предотвратить дальнейшие несанкционированные транзакции и запустил инструмент для отзыва разрешений (https://revoke.abs.xyz), чтобы пользователи могли отозвать открытые сессии. Также команда обновила контракты Cardex для предотвращения последующих транзакций.

Ненадлежащее управление приватными ключами вызвало многочисленные хакерские атаки, в результате которых только в январе было похищено почти $80 млн.

Источник: Abstract