قام القراصنة هذه المرة بشن هجوم عبر لعبة! مئات الإيثيريوم (ETH) في خطر! إليك التفاصيل

وفقًا لتقرير المراجعة الأولي الذي نشرته شركة Abstract، تسبب انتهاك أمني كبير في سلسلة الكتل Layer 2 التابعة لشركة Abstract في تعريض محفظة 9000 مستخدم لخطر فقدان 400000 دولار من الإيثريوم (ETH).

استغلال بطاقة 9.000 يورو من 400.000 دولار من هجوم القراصنة

تم تعريف الهجوم الذي تم اكتشافه مبكرًا على أنه "هجوم مفتاح الجلسة" حيث حصل القراصنة الضارون على وصول إلى محافظ المستخدمين الذين يتفاعلون مع Cardex، وهي لعبة مبنية على سلسلة كتل تعمل على Abstract.

كيف حدث الهجوم؟

أعلن أن الاختراق ناتج عن مفتاح متسرب في رمز الواجهة الأمامية لـ Cardex وأن هذا يهدد محفظة الجلسة المشتركة المستخدمة من قبل جميع لاعبي Cardex.

حاول القراصنة القيام بما يلي:

• سرقة ETH بشكل فعال عن طريق التداول نيابة عن المستخدمين.
• على الرغم من أن رموز ERC-20 و NFTs غير متأثرة، إلا أن هناك مستخدمين يرغبون في بيع أصولهم.

أشارت المراجعة المبدئية إلى أن الهجوم لم يكن ناتجًا عن عيب في البلوكشين الأساسي للملخص أو المحفظة العالمية (AGW)، بل كان ناجمًا عن ضعف في إدارة الأمان لجلسات Cardex.

مفاتيح الجلسة تُستخدم لتحسين تجربة المستخدم من خلال تمكين التطبيقات من إنشاء وصول مؤقت ومحدود إلى المحافظ، ومع ذلك، قد تؤدي ممارسات الأمان غير المناسبة مثل كشف المعلومات الحساسة إلى مثل هذه الانتهاكات.

استفاد المهاجم من إدارة مفاتيح الجلسة الخاصة بـ Cardex بشكل غير صحيح للحصول على السيطرة غير المصرح بها على محافظ المستخدم.

استجابة الملخص وتوصية المستخدم

قامت باتخاذ خطوات عاجلة لتقليل المخاطر:

• حث المستخدمين على إلغاء الجلسات النشطة مع Cardex.
• تم الإعلان عن فحوص أمان إلزامية لجميع المشاريع التي تستخدم مفاتيح الجلسة في بوابة الملخص.
• تم التأكيد على أن شبكة Abstract الأساسية لا تزال آمنة.