Злам Abstract: хакери вкрали $400 тис. гравців Cardex через «загублений» ключ

Блокчейн другого рівня (L2) Abstract повідомив про порушення безпеки, через яке понад 9 тис. гаманців втратили приблизно $400 тис. в Ethereum. Інцидент пов’язаний з картковою блокчейн-грою Cardex.

Злам стався через компрометацію гаманця підписувача сесій Abstract Global Wallet. Усі користувачі Cardex використовували цей гаманець і стали уразливими через витік ключа в фронтенд-коді Cardex. Це дозволило зловмиснику спустошити гаманці, які мали активну «сесію» з грою. Під час гри в Cardex користувачам потрібно було підписати транзакцію, так звану сесію, яка давала додатку повний контроль над коштами гаманця на певний період часу. Сесія, по суті, означає тимчасовий дозвіл смарт-контракту (або dApp) виконувати транзакції від імені користувача, не вимагаючи нових дозволів кожного разу.

Використавши експлойт, хакер зміг виявляти поточні відкриті сесії жертв, ініціювати транзакцію buyShares від імені жертви та переводити активи на свій рахунок. Потім він продавав їх на платформі Cardex, фактично викравши ETH у жертв.

ERC20-токени та NFT користувачів не постраждали, оскільки сесійні ключі мали  доступ лише до певних функцій Cardex.

Cardex запустили в мережі Abstract Chain 12 лютого. Це колекційний та ігровий додаток, в якому наразі проходить активний турнір, що, можливо, спричинило дрейн більшої кількості гаманців.

Abstract блокував доступу до Cardex, щоб запобігти подальшим несанкціонованим транзакціям та запустив інструменту для відкликання дозволів (https://revoke.abs.xyz), щоб користувачі могли відкликати відкриті сесії. Також команда оновила контракти Cardex для запобігання подальшим транзакціям.

Неналежне управління приватними ключами спричинило численні хакерські атаки, внаслідок яких лише у січні було викрадено майже $80 млн.

Джерело: Abstract