Хакери на цей раз вчинили атаку через гру! Сотні Ethereum (ETH) потрапили в небезпеку! Ось деталі

Згідно з першим оглядовим звітом, опублікованим Abstract, серйозне порушення безпеки в Layer 2 блокчейні Abstract призвело до загрози для 9 000 гаманців користувачів на суму 400 000 доларів у Ethereum (ETH).

Вразливість Cardex 9,000 доларів з 400,000 доларів з кишенькового гакера

Ранній виявлений напад був визначений як "атака на ключ сесії", під час якої зловмисний хакер отримав доступ до гаманців користувачів, які взаємодіяли з грою на основі блокчейну Abstract, яка працює з грою на основі блокчейну Cardex.

Як відбувалася атака?

Було оголошено, що взлом стався через витік ключа в передньому коді Cardex і це поставило під загрозу загальний сеансовий підписний гаманець, який використовується всіма гравцями Cardex.

Хакер намагався зробити наступне:

• Активна крадіжка ETH шляхом транзакцій від імені користувачів.
• ERC-20 токени та NFT-и, хоча й не постраждали, можна продавати активи користувачів.

Попереднє розслідування підкреслило, що атака була викликана не збоєм (AGW) в основному блокчейні Abstract або Global Wallet, а скоріше поганим управлінням безпекою Cardex при обробці ключів сесії.

Ключі сеансу використовуються для покращення користувацького досвіду, дозволяючи додаткам створювати тимчасовий та обмежений доступ до гаманців. Проте неприпустимі практики забезпечення безпеки, такі як розголошення критичних особистих даних, можуть призвести до таких порушень.

Зловмисник зловживав неправильним управлінням ключами сеансу Cardex, щоб отримати несанкціоноване керування гаманцями користувачів.

Відповідь реферату та рекомендація користувача

Абстракція вжила термінові заходи для зменшення ризику:

• Закликав користувачів скасувати активні сеанси за допомогою Cardex.
• Оголошено обов'язкові перевірки безпеки для всіх проектів, що використовують ключі сеансу в порталі абстракції.
• Підтверджено, що ядро абстрактної мережі залишається безпечним.