Разработчик L2-платформы Abstract на базе Ethereum под ником Cygaar сообщил, что уязвимость в приложении блокчейн-игры Cardex привела к краже Ethereum на сумму $400 000 с 9000 кошельков.
Хакеры атаковали проект 18 февраля.
Программист назвал инцидент «взломом сессий», из-за которого злоумышленники получили доступ к адресам пользователей Cardex.
Согласно отчету Cygaar, хакеры получили доступ к кошельку для регистрации сеансов, общего для всех пользователей Cardex, чему способствовала утечка ключа во внешнем коде платформы. Это позволило управлять адресами игроков и совершать операции с их активами.
Взлом не затронул токены ERC-20, NFT и главный кошелек Abstract Global Wallet. Проблема связана исключительно с управлением командой Cardex ключами сеансов — временными данными, которые предоставляют ограниченный доступ к функционалу кошелька.
Представитель Abstract рекомендовал пользователям прекратить взаимодействие с приложением и отозвать активные сеансы для снижения рисков. Ожидается, что все использующие ключи сеанса на портале Abstract проекты пройдут аудит.
Напомним, 12 февраля протокол zkLend потерял ~3666 ETH в результате взлома. Команда проекта предложила злоумышленнику вернуть 90% украденных средств, позволив ему сохранить 10% от суммы в качестве вознаграждения.