Invezz

Ethereum L2 Abstract Chain sonderer tegnebogens afløbsproblem, efter at brugere har markeret manglende midler

Ethereum L2 Abstract Chain sonderer tegnebogens afløbsproblem, efter at brugere har markeret manglende midler
Rony Roy
18. feb. 2025, 17:39 PM
  • Abstrakt kædebrugere rapporterer, at midler forsvinder fra deres tegnebøger.
  • Udviklere siger, at problemet stammer fra Cardex, et nyligt lanceret tokeniseret korthandelsspil på netværket.
  • De første skøn tyder på, at ETH til en værdi af over 400.000 USD var blevet drænet.

Adskillige Abstract Chain-brugere har rapporteret, at deres midler er drænet, mens udviklere har hævdet, at problemet stammer fra en specifik applikation på netværket.

Den 18. februar rapporterede en række Abstract Global Wallets-brugere om uventede fondstilbagetrækninger, hvilket gav anledning til bekymring over et potentielt sikkerhedsbrud.

De udnyttede tegnebøger så hele deres saldi udslettet, hvilket efterlod brugerne på jagt efter svar.

Hvad skete der?

Oprindeligt anset for at være en ekstern udnyttelse af netværkets smarte kontrakter, vendte bekymringerne hurtigt mod én specifik app.

Et par timer efter de første rapporter dukkede op, forsikrede Abstract Chain-udvikleren 0xBeans brugerne om, at problemet ikke var en netværksdækkende Abstract Global Wallet-sårbarhed, men i stedet knyttet til Cardex, et tokeniseret handelskortspil bygget på det abstrakte økosystem.

"Vi er opmærksomme på, at nogle abstrakte brugere er blevet kompromitteret," skrev de på X og opfordrede brugerne til at undgå at interagere med Cardex, mens holdet undersøgte.

I et efterfølgende indlæg præciserede 0xBeans, at grundårsagen var Cardex forkert håndtering af sin private nøgle, hvilket kan have efterladt brugere afsløret.

"Hvis du nogensinde har interageret med denne app, tilbagekald dine sessioner," advarede de og opfordrede brugerne til at bruge web3-sikkerhedsværktøjet Revoke Cash, et værktøj, der giver brugerne mulighed for at administrere og tilbagekalde token-godkendelser på deres krypto wallets.

Mens det samlede omfang af tab endnu ikke er fastlagt, har 0xBeans lovet at frigive en "større post-mortem" af hændelsen i en kommende opdatering.

Et medlem af fællesskabet, der citerede Dune Analytics-data, anslog dog tab på over 180 ETH, hvilket beløber sig til lidt over $482.000 baseret på nuværende priser.

On-chain sikkerhedsfirmaet Quill Audits analyserede angrebet og forklarede, at udnytteren implementerede en ondsindet kontrakt, der tillod dem at suge penge fra kompromitterede tegnebøger, før de begyndte at hvidvaske midlerne.

De stjålne aktiver passerede først gennem en bootloader-adresse, før de blev ført ind i angriberens kontrakt.

Derfra blev midlerne spredt ud over flere tegnebøger, en almindelig taktik, der bruges til at skjule sporet og gøre sporing af midler mere kompleks.

Blandt de identificerede tegnebøger, på tidspunktet for Quill Audits rapport, indeholdt mindst tre af angriberens tegnebøger omkring $30.000 i stjålet ETH.

I mellemtiden har brugere af den angiveligt ondsindede dApp oversvømmet X med frustration og beskyldninger, kaldet Cardex for en fidus og krævet svar.

Som pressetid har Cardex-teamet endnu ikke udsendt en erklæring om beskyldningerne. Udviklingen kommer få dage efter, at dApp gik live den 12. februar.

Hvad er abstrakt kæde?

Abstract Chain, der blev lanceret i sidste måned, er et Ethereum Layer-2-netværk udviklet af Igloo Inc., virksomheden, der er ansvarlig for den populære NFT-kollektion kaldet Pudgy Penguins.

Det udnytter zkSyncs ZK Stack til at tilbyde forskellige skalerbare og omkostningseffektive on-chain løsninger.

Problemet med at dræne tegnebogen kommer også blot en dag efter, at Abstract nåede en stor milepæl ved at implementere over 1 million AGW-punge.

AGW giver brugere mulighed for at oprette smarte kontrakttegnebøger ved hjælp af velkendte logins som e-mail eller sociale konti, hvilket gør det nemmere for ikke-krypto-native brugere at oprette en on-chain wallet.