В Abstract розкрили суму збитків від злому Cardex

Розробник L2-платформи Abstract на базі Ethereum під ніком Cygaar повідомив, що вразливість у застосунку блокчейн-гри Cardex призвела до крадіжки Ethereum на суму $400 000 із 9000 гаманців.

Хакери атакували проєкт 18 лютого.

Програміст назвав інцидент «зломом сесій», через який зловмисники отримали доступ до адрес користувачів Cardex.

Згідно зі звітом Cygaar, хакери отримали доступ до гаманця для реєстрації сеансів, спільного для всіх користувачів Cardex, чому сприяв витік ключа в зовнішньому коді платформи. Це дало змогу керувати адресами гравців і здійснювати операції з їхніми активами.

Злом не зачепив токени ERC-20, NFT і головний гаманець Abstract Global Wallet. Проблема пов’язана виключно з управлінням командою Cardex ключами сеансів — тимчасовими даними, які надають обмежений доступ до функціоналу гаманця.

Представник Abstract рекомендував користувачам припинити взаємодію з додатком і відкликати активні сеанси для зниження ризиків. Очікується, що всі проєкти, які використовують ключі сеансу на порталі Abstract, пройдуть аудит.

Нагадаємо, 12 лютого протокол zkLend втратив ~3666 ETH унаслідок злому. Команда проєкту запропонувала зловмиснику повернути 90% вкрадених коштів, дозволивши йому зберегти 10% від суми як винагороду.