В Abstract розкрили суму збитків від злому Cardex
Розробник L2-платформи Abstract під псевдонімом Cygaar повідомив, що уразливість в блокчейн-грі Cardex призвела до викрадення Ethereum на суму $400 000 з 9000 гаманців.
https://t.co/ZVyuBXyXoN
— cygaar (@0xCygaar) February 18, 2025
Хакери атакували проект 18 лютого.
Програміст охарактеризував інцидент як «злом сесій», завдяки якому зловмисники отримали доступ до адрес користувачів Cardex.
За інформацією Cygaar, зловмисники змогли скористатися гаманцем для реєстрації сесій, який є спільним для всіх користувачів Cardex, що стало можливим через витік ключа в зовнішньому коді платформи. Це дозволило управляти адресами гравців і проводити операції з їхніми активами.
Злом не торкнувся токенів ERC-20, NFT та основного гаманця Abstract Global Wallet. Проблема стосується лише управління командою Cardex ключами сесій — тимчасовими даними, які забезпечують обмежений доступ до функцій гаманця.
Представник Abstract порадив користувачам призупинити використання додатку та відкликати активні сесії для зменшення ризиків. Очікується, що всі проекти, які використовують ключі сесії на порталі Abstract, пройдуть аудит.
Нагадаємо, 12 лютого протокол zkLend втратив близько 3666 ETH внаслідок злому. Команда проекту запропонувала зловмиснику повернути 90% викрадених коштів, дозволивши йому залишити 10% як винагороду.
