«Взлом Cardex: ущерб составил $400,000 из-за уязвимости в Ethereum-приложении»

Разработчик платформы Abstract на базе Ethereum, известный под псевдонимом Cygaar, сообщил, что уязвимость в блокчейн-игре Cardex привела к похищению $400 000 в Ethereum с 9000 кошельков.

Хакеры осуществили атаку на проект 18 февраля.

По словам программиста, этот инцидент представлял собой «взлом сессий», который позволил злоумышленникам получить доступ к адресам пользователей Cardex.

В отчете Cygaar упоминается, что хакеры воспользовались общим для всех пользователей кошельком для регистрации сессий, что произошло из-за утечки ключа в стороннем коде платформы. Это дало возможность управлять адресами игроков и проводить операции с их активами.

Взлом не затронул токены ERC-20, NFT и основной кошелек Abstract Global Wallet. Проблема касается исключительно управления сеансами, что является временными данными, предоставляющими ограниченный доступ к функционалу кошелька, контролируемого командой Cardex.

Представитель Abstract настоятельно рекомендовал пользователям прекратить использование приложения и отозвать активные сеансы, чтобы уменьшить потенциальные риски. Ожидается, что все проекты на портале Abstract, использующие ключи сессий, пройдут аудит.

Напомним, что 12 февраля протокол zkLend потерял около 3666 ETH в результате взлома. Команда предложила злоумышленнику вернуть 90% украденных средств, оставив ему 10% в качестве вознаграждения.