Invezz

Ethereum L2 Abstract Chain indaga sul problema del drenaggio del portafoglio dopo che gli utenti hanno segnalato la scomparsa di fondi

Ethereum L2 Abstract Chain indaga sul problema del drenaggio del portafoglio dopo che gli utenti hanno segnalato la scomparsa di fondi
Rony Roy
18 feb 2025, 17:41 PM
  • Gli utenti di Abstract Chain segnalano la scomparsa di fondi dai loro portafogli.
  • Gli sviluppatori affermano che il problema deriva da Cardex, un nuovo gioco di carte tokenizzate lanciato sulla rete.
  • Le stime iniziali suggeriscono che siano stati sottratti oltre 400.000 $ di ETH.

Diversi utenti di Abstract Chain hanno segnalato il furto dei propri fondi, mentre gli sviluppatori hanno affermato che il problema deriva da una specifica applicazione sulla rete.

Il 18 febbraio, diversi utenti di Abstract Global Wallets hanno segnalato prelievi di fondi imprevisti, sollevando preoccupazioni per una potenziale violazione della sicurezza.

I portafogli compromessi hanno visto azzerati tutti i loro saldi, lasciando gli utenti alla ricerca di risposte.

Cosa è successo?

Inizialmente si pensava che si trattasse di uno sfruttamento esterno dei contratti intelligenti della rete, ma le preoccupazioni si sono rapidamente concentrate su un'app specifica.

Pochi ore dopo la comparsa delle prime segnalazioni, lo sviluppatore di Abstract Chain 0xBeans ha rassicurato gli utenti affermando che il problema non era una vulnerabilità della Abstract Global Wallet a livello di rete, ma era invece collegato a Cardex, un gioco di carte collezionabili tokenizzato basato sull'ecosistema Abstract.

"Siamo a conoscenza di alcuni utenti di Abstract che sono stati compromessi", hanno pubblicato su X, esortando gli utenti a evitare di interagire con Cardex mentre il team indagava.

In un post successivo, 0xBeans ha chiarito che la causa principale era la cattiva gestione della chiave privata da parte di Cardex, che potrebbe aver esposto gli utenti.

“Se avete mai interagito con questa app, revocate le vostre sessioni”, hanno avvertito, esortando gli utenti a utilizzare lo strumento di sicurezza web3 Revoke Cash, uno strumento che consente agli utenti di gestire e revocare le approvazioni dei token sui propri wallet per crypto.

Sebbene l'entità totale delle perdite non sia ancora stata determinata, 0xBeans ha promesso di pubblicare un "post-mortem più dettagliato" dell'incidente in un prossimo aggiornamento.

Tuttavia, un membro della comunità, citando dati di Dune Analytics, ha stimato perdite superiori a 180 ETH, equivalenti a poco più di 482.000 dollari ai prezzi attuali.

La società di sicurezza on-chain Quill Audits ha analizzato l'attacco, spiegando che l'autore ha implementato un contratto dannoso che gli ha permesso di sottrarre fondi dai portafogli compromessi prima di iniziare a riciclarli.

Gli asset rubati sono passati prima attraverso un indirizzo bootloader prima di essere trasferiti nel contratto dell'attaccante.

Da lì, i fondi sono stati distribuiti su diversi portafogli, una tattica comune utilizzata per oscurare le tracce e rendere più complessa la loro rintracciabilità.

Tra i portafogli identificati, al momento della relazione di Quill Audits, almeno tre portafogli dell'attaccante contenevano circa 30.000 $ di ETH rubati.

Nel frattempo, gli utenti della presunta dApp dannosa hanno inondato X di frustrazione e accuse, definendo Cardex una truffa e chiedendo spiegazioni.

Al momento della pubblicazione, il team di Cardex non ha ancora rilasciato una dichiarazione in merito alle accuse. Questo sviluppo arriva pochi giorni dopo il lancio della dApp, avvenuto il 12 febbraio.

Cos'è una catena astratta?

Lanciata il mese scorso, Abstract Chain è una rete Ethereum Layer-2 sviluppata da Igloo Inc., la società responsabile della popolare collezione NFT chiamata Pudgy Penguins.

Sfrutta lo ZK Stack di zkSync per offrire varie soluzioni scalabili e convenienti on-chain.

Il problema dello svuotamento dei portafogli arriva anche a un solo giorno di distanza dal raggiungimento di un importante traguardo da parte di Abstract, con l'implementazione di oltre 1 milione di portafogli AGW.

AGW consente agli utenti di creare portafogli di contratti intelligenti utilizzando accessi familiari come e-mail o account social, semplificando la configurazione di un portafoglio on-chain per gli utenti non nativi della crittografia.