Invezz

Ethereum L2 Abstract Chain enquête sur le problème de vidange de portefeuille après que des utilisateurs ont signalé des fonds manquants.

Ethereum L2 Abstract Chain enquête sur le problème de vidange de portefeuille après que des utilisateurs ont signalé des fonds manquants.
Rony Roy
18 févr. 2025, 17:41 PM
  • Résumé : Des utilisateurs de la chaîne signalent la disparition de fonds de leurs portefeuilles.
  • Les développeurs affirment que le problème provient de Cardex, un nouveau jeu de trading de cartes tokenisé lancé sur le réseau.
  • Les estimations initiales suggèrent que plus de 400 000 $ d'ETH ont été drainés.

Plusieurs utilisateurs d'Abstract Chain ont signalé que leurs fonds avaient été drainés, tandis que les développeurs ont affirmé que le problème provenait d'une application spécifique sur le réseau.

Le 18 février, un certain nombre d'utilisateurs de Abstract Global Wallets ont signalé des retraits de fonds inattendus, suscitant des inquiétudes quant à une éventuelle violation de la sécurité.

Les portefeuilles piratés ont vu leurs soldes entièrement vidés, laissant les utilisateurs en quête de réponses.

Que s'est-il passé ?

Initialement considéré comme une exploitation externe des contrats intelligents du réseau, les inquiétudes se sont rapidement tournées vers une application spécifique.

Quelques heures après les premières informations, le développeur d'Abstract Chain, 0xBeans, a rassuré les utilisateurs en précisant que le problème ne provenait pas d'une vulnérabilité du portefeuille Abstract Global à l'échelle du réseau, mais était lié à Cardex, un jeu de cartes à collectionner tokenisé construit sur l'écosystème Abstract.

« Nous sommes au courant que certains utilisateurs d'Abstract ont été compromis », ont-ils publié sur X, exhortant les utilisateurs à éviter d'interagir avec Cardex pendant que l'équipe menait l'enquête.

Dans un message ultérieur, 0xBeans a précisé que la cause profonde était une mauvaise gestion de sa clé privée par Cardex, ce qui aurait pu exposer les utilisateurs.

« Si vous avez déjà interagi avec cette application, révoquez vos sessions », ont-ils averti, exhortant les utilisateurs à utiliser l'outil de sécurité web3 Revoke Cash, un outil qui permet aux utilisateurs de gérer et de révoquer les approbations de jetons sur leurs wallets crypto.

Bien que l'étendue totale des pertes n'ait pas encore été déterminée, 0xBeans a promis de publier un « bilan plus détaillé » de l'incident dans une prochaine mise à jour.

Cependant, un membre de la communauté, citant les données de Dune Analytics, a estimé les pertes à plus de 180 ETH, soit un peu plus de 482 000 $ aux prix actuels.

La société de sécurité sur la blockchain Quill Audits a analysé l'attaque, expliquant que l'exploiteur avait déployé un contrat malveillant qui lui permettait de siphonner des fonds à partir de portefeuilles compromis avant de commencer à blanchir les fonds.

Les actifs volés ont d'abord transité par une adresse de chargeur d'amorçage avant d'être acheminés vers le contrat de l'attaquant.

De là, les fonds ont été dispersés sur plusieurs portefeuilles, une tactique courante utilisée pour brouiller les pistes et rendre le traçage des fonds plus complexe.

Parmi les portefeuilles identifiés, au moment du rapport de Quill Audits, au moins trois des portefeuilles de l'attaquant contenaient environ 30 000 $ d'ETH volés.

Entre-temps, les utilisateurs de la dApp prétendument malveillante ont inondé X de frustration et d'accusations, qualifiant Cardex d'escroquerie et exigeant des réponses.

Au moment de la mise sous presse, l'équipe de Cardex n'a pas encore publié de déclaration concernant ces allégations. Cette situation survient quelques jours seulement après le lancement de la dApp le 12 février.

Qu'est-ce qu'une chaîne abstraite ?

Lancé le mois dernier, Abstract Chain est un réseau Ethereum de couche 2 développé par Igloo Inc., la société responsable de la populaire collection NFT baptisée Pudgy Penguins.

Il s'appuie sur la pile ZK de zkSync pour proposer diverses solutions évolutives et rentables sur la chaîne.

Le problème de la fuite de fonds survient également un jour après qu'Abstract ait franchi une étape importante en déployant plus d'un million de portefeuilles AGW.

AGW permet aux utilisateurs de créer des portefeuilles de contrats intelligents en utilisant des identifiants de connexion familiers comme l'e-mail ou les comptes sociaux, ce qui facilite la création d'un portefeuille sur la chaîne pour les utilisateurs non natifs de la cryptographie.