Компанія Abstract повідомила про нещодавній інцидент, пов’язаний із «злом сеансового ключа» у застосунку Cardex, який базується на блокчейні. Внаслідок цього випадку користувачі втратили майже $400 000 у токенах.
Про це розповідає ProIT
Деталі інциденту з Cardex
Команда безпеки L2-рішення Abstract виявила проблему 18 лютого, зазначивши, що «злом сеансового ключа» був зафіксований у системі Cardex. Важливо зазначити, що безпека криптогаманця Abstract Global Wallet не була під загрозою, оскільки інцидент стосувався лише стороннього застосунку.
Співробітники Abstract уточнили, що проблема виникла не з вини їхньої мережі, а стала результатом ізольованого збої безпеки у сторонньому застосунку. Cardex, який з’явився на ринку 11 лютого 2025 року, є ончейн-грою у жанрі фентезі, розробленою на основі L2-рішення.
Реакція та заходи безпеки
Представники компанії повідомили, що команда Cardex вже провела попередні аудити для отримання схвалення на розміщення в порталі, але в процесі ненавмисно розкрила приватний ключ сесійного підписувача на фронтенді сайту, що не входило в обсяг перевірки. Це дозволило зловмиснику ініціювати транзакції з контрактами Cardex, використовуючи будь-який гаманець, який схвалив сесійний ключ.
«Наш головний пріоритет зараз — співпраця з Seal 911 [група експертів з безпеки в надзвичайних ситуаціях] для допомоги Cardex у вирішенні ситуації та повернення користувачів до нормального життя», — заявив представник проєкту.
Нагадаємо, що перед виявленням злому Abstract проводила розслідування на основі отриманих повідомлень про зливи коштів з гаманців деяких користувачів.
