🚀 Пользователи Cardex потеряли $400 000 из-за ошибки разработчиков
опубликовано 19 февр 2025
Приложение Cardex, работающее на L2-блокчейне Abstract и разработанное Igloo — материнской компанией Pudgy Penguins, потеряло около $400 000 средств пользователей из-за утечки закрытого ключа.
Согласно официальному расследованию команды Abstract, причиной стало случайное раскрытие закрытого сеансового ключа, который дает возможность кошелькам Abstract Global Wallet (AGW) взаимодействовать с некоторыми приложениями через отдельные сеансы, передавая часть функций управления третьей стороне. Это делает пользовательский опыт более бесшовным, но при неправильной настройке повышает риски нарушения безопасности.
Именно это и произошло в данном случае. Вопреки всем требованиям и установленным правилам Abstract, разработчики Cardex использовали один сеансовый ключ для всех пользователей и даже не зашифровали его соответствующим образом в коде сайта. Это позволило злоумышленникам, которые его нашли, совершать транзакции от имени всех пользователей, подключенных к приложению.
Атака затронула более 9000 кошельков, однако токены основной сети Ethereum (ERC20), невзаимозаменяемые токены (NFT) и другие пользователи AGW не пострадали. Это подтверждает, что ошибка была на стороне Cardex, разработчики которого не обеспечили должную защиту закрытого ключа и нарушили несколько критически важных правил обработки данных.
Мы ценим доверие и поддержку наших производителей и пользователей. Сейчас наше основное внимание сосредоточено на работе с Seal 911, чтобы помочь Cardex исправить ситуацию и вернуть пользователей к нормальной жизнизаявили разработчики Abstract.
После инцидента команда Abstract призвала пользователей немедленно отключиться от приложения и не взаимодействовать с ним до последующего уведомления. Кроме того, они объявили, что все новые и существующие приложения, использующие сеансовые ключи и представленные на платформе The Portal, должны пройти новый аудит. Команда также намерена продолжить обучение сторонних разработчиков и усилить меры безопасности, чтобы избежать подобных проблем в будущем.
Читайте далее: Криптовзломы в 2024 году — ключевые инциденты по кварталам
Больше актуальных новостей