🚀 Користувачі Cardex втратили $400 000 через помилку розробників
опубліковано 19 лют 2025
Застосунок Cardex, що працює на L2-блокчейні Abstract і розроблений Igloo — материнською компанією Pudgy Penguins, втратив близько $400 000 коштів користувачів через витік закритого ключа.
За офіційним розслідуванням команди Abstract, причиною стало випадкове розкриття закритого сеансового ключа, який дає змогу гаманцям Abstract Global Wallet (AGW) взаємодіяти з деякими застосунками через окремі сеанси, передаючи частину функцій управління третій стороні. Це робить користувацький досвід більш безшовним, але за неправильного налаштування підвищує ризики порушення безпеки.
Саме це й сталося. Всупереч усім вимогам і встановленим правилам Abstract, розробники Cardex використовували один сеансовий ключ для всіх користувачів і навіть не зашифрували його відповідно у коді сайту. Це дало змогу зловмисникам, які його знайшли, здійснювати транзакції від імені всіх користувачів, під’єднаних до застосунку.
Атака зачепила понад 9000 гаманців, проте токени основної мережі Ethereum (ERC20), невзаємозамінні токени (NFT) та інші користувачі AGW не постраждали. Це підтверджує, що помилка була з боку Cardex, розробники якого не забезпечили належного захисту закритого ключа і порушили кілька критично важливих правил обробки даних.
Ми цінуємо довіру та підтримку наших виробників і користувачів. Зараз наша основна увага зосереджена на роботі з Seal 911, щоб допомогти Cardex виправити ситуацію і повернути користувачів до нормального життязаявили розробники Abstract.
Після інциденту команда Abstract закликала користувачів негайно від’єднатися від застосунку і не взаємодіяти з ним до подальшого повідомлення. Крім того, вони оголосили, що всі нові та наявні застосунки, які використовують сеансові ключі та представлені на платформі The Portal, мають пройти новий аудит. Команда також має намір продовжити навчання сторонніх розробників і посилити заходи безпеки, щоб уникнути таких проблем у майбутньому.
Більше актуальних новин