The second-level (L2) blockchain Abstract ha informado de una brecha de seguridad que ha provocado que más de 9.000 monederos hayan perdido aproximadamente 400.000 dólares en Ethereum. El incidente está relacionado con el juego de cartas Cardex blockchain.
La brecha se produjo debido al compromiso del monedero firmante de sesión Abstract Global Wallet. Todos los usuarios de Cardex utilizaban este monedero y se volvieron vulnerables debido a una fuga de claves en el código del frontend de Cardex, lo que permitió al atacante vaciar los monederos que tenían una «sesión» activa con el juego. Al jugar a Cardex, los usuarios debían firmar una transacción, la llamada sesión, que otorgaba a la aplicación el control total de los fondos del monedero durante un determinado periodo de tiempo. Una sesión significa esencialmente un permiso temporal para que un contrato inteligente (o dApp) ejecute transacciones en nombre del usuario sin requerir nuevos permisos cada vez.
Utilizando el exploit, el hacker fue capaz de identificar las sesiones abiertas actuales de las víctimas, iniciar una transacción buyShares en nombre de la víctima y transferir los activos a su cuenta. A continuación, los vendió en la plataforma Cardex, robando ETH a las víctimas.
Los tokens ERC20 y NFT de los usuarios no se vieron afectados, ya que las claves de sesión solo accedían a determinadas funciones de Cardex.
Cardex lanzado en la red Abstract Chain el 12 de febrero. Se trata de una app de coleccionismo y juegos que actualmente alberga un torneo activo, lo que puede haber provocado el vaciado de un mayor número de monederos.
Abstract bloqueó el acceso a Cardex para evitar más transacciones no autorizadas y lanzó una herramienta de revocación (https://revoke.abs.xyz) para permitir a los usuarios retirar las sesiones abiertas. El equipo también actualizó los contratos Cardex para impedir nuevas transacciones.
La gestión inadecuada de las claves privadas dio lugar a numerosos ataques de piratas informáticos, que provocaron el robo de casi 80 millones de dólares solo en enero.
Fuente: Abstract
Spelling error report
The following text will be sent to our editors: