Компания Abstract сообщила о недавнем инциденте, связанном с «взломом сеансового ключа» в приложении Cardex, которое основано на блокчейне. В результате этого случая пользователи потеряли почти $400 000 в токенах.
Об этом сообщает ProIT
Детали инцидента с Cardex
Команда безопасности L2-решения Abstract обнаружила проблему 18 февраля, отметив, что «взлом сеансового ключа» был зафиксирован в системе Cardex. Важно отметить, что безопасность криптокошелька Abstract Global Wallet не была под угрозой, поскольку инцидент касался только стороннего приложения.
Сотрудники Abstract уточнили, что проблема возникла не по вине их сети, а стала результатом изолированного сбоя безопасности в стороннем приложении. Cardex, который появился на рынке 11 февраля 2025 года, является ончейн-игрой в жанре фэнтези, разработанной на основе L2-решения.
Реакция и меры безопасности
Представители компании сообщили, что команда Cardex уже провела предварительные аудиты для получения одобрения на размещение в портале, но в процессе ненамеренно раскрыла приватный ключ сессионного подписчика на фронтенде сайта, что не входило в объем проверки. Это позволило злоумышленнику инициировать транзакции с контрактами Cardex, используя любой кошелек, который одобрил сессионный ключ.
«Наш главный приоритет сейчас — сотрудничество с Seal 911 [группа экспертов по безопасности в чрезвычайных ситуациях] для помощи Cardex в решении ситуации и возвращении пользователей к нормальной жизни», — заявил представитель проекта.
Напомним, что перед обнаружением взлома Abstract проводила расследование на основе полученных сообщений о сливе средств из кошельков некоторых пользователей.
