Otrā līmeņa blokķēde (L2) Abstract ziņoja par drošības pārkāpumu, kura dēļ vairāk nekā 9 tūkstoši maku zaudēja aptuveni $400 tūkstošus Ethereum. Incidents ir saistīts ar kāršu blokķēdes spēli Cardex.
Ielaušanās notika sakarā ar Abstract Global Wallet sesijas parakstu maka kompromitēšanu. Visi Cardex lietotāji izmantoja šo maku un kļuva neaizsargāti sakarā ar atslēgas noplūdi Cardex frontend kodā. Tas ļāva uzbrucējam iztukšot makus, kuriem bija aktīva "sesija" ar spēli. Spēles Cardex laikā lietotājiem bija jāparaksta transakcija, tā sauktā sesija, kas deva aplikācijai pilnīgu kontroli pār maka līdzekļiem uz noteiktu laiku. Sesija būtībā nozīmē īslaicīgu atļauju viedlīgumu (vai dApp) veikt transakcijas lietotāja vārdā, neprasot jaunas atļaujas katru reizi.
Izmantojot eksploitu, hakeris spēja atklāt cietušo atvērtās sesijas, uzsākt buyShares transakciju cietušā vārdā un pārskaitīt aktīvus uz savu kontu. Pēc tam viņš tos pārdeva platformā Cardex, faktiski nozogot ETH no cietušajiem.
Lietotāju ERC20-tokens un NFT necieta, jo sesiju atslēgām bija piekļuve tikai noteiktām Cardex funkcijām.
Cardex palaists Abstract Chain tīklā 12. februārī. Tā ir kolekcionējama un spēļu aplikācija, kurā pašlaik norit aktīvs turnīrs, kas, iespējams, izraisījis vairāk maka iztukšošanas.
Abstract ir bloķējis piekļuvi Cardex, lai novērstu turpmākas nesankcionētas transakcijas, un palaidis atļauju atsaukuma rīku (https://revoke.abs.xyz), lai lietotāji varētu atsaukt atvērtās sesijas. Komanda arī atjaunināja Cardex līgumus, lai novērstu turpmākas transakcijas.
Nepiemērota privāto atslēgu pārvaldība izraisīja vairākas hakeru uzbrukumus, kuru laikā vien janvārī tika nozagti gandrīz $80 miljoni.
Avots: Abstract
Komentāri (0)
Šobrīd nav neviena komentāra