Invezz

Ethereum L2 Abstract Chain onderzoekt probleem met leeghalen van wallet nadat gebruikers ontbrekende fondsen signaleren

Ethereum L2 Abstract Chain onderzoekt probleem met leeghalen van wallet nadat gebruikers ontbrekende fondsen signaleren
Rony Roy
18 feb 2025, 17:42 P.M.
  • Samenvatting Gebruikers van Chain melden dat er geld uit hun wallets verdwijnt.
  • Volgens ontwikkelaars is het probleem te wijten aan Cardex, een nieuw gelanceerd kaartspel op basis van tokens op het netwerk.
  • Volgens eerste schattingen is er meer dan $400.000 aan ETH weggesluisd.

Verschillende gebruikers van Abstract Chain hebben gemeld dat hun tegoeden zijn leeggehaald, terwijl ontwikkelaars beweren dat het probleem voortkomt uit een specifieke applicatie op het netwerk.

Op 18 februari meldden een aantal gebruikers van Abstract Global Wallets dat ze onverwacht geld hadden opgenomen. Hierdoor ontstonden zorgen over een mogelijke inbreuk op de beveiliging.

De gehackte portemonnees verloren hun volledige saldo, waardoor gebruikers op zoek moesten naar antwoorden.

Wat is er gebeurd?

Aanvankelijk werd gedacht dat het om een externe exploitatie van de slimme contracten van het netwerk ging, maar al snel richtten de zorgen zich op één specifieke app.

Een paar uur nadat de eerste berichten verschenen, verzekerde Abstract Chain-ontwikkelaar 0xBeans gebruikers dat het probleem geen kwetsbaarheid was van de Abstract Global Wallet, maar in plaats daarvan verband hield met Cardex, een op tokens gebaseerd kaartspel dat is gebouwd op het Abstract-ecosysteem.

"We zijn ons ervan bewust dat sommige Abstract-gebruikers gecompromitteerd zijn", schreven ze op X. Ze drongen er bij gebruikers op aan om Cardex te vermijden terwijl het team onderzoek doet.

In een later bericht maakte 0xBeans duidelijk dat de oorzaak lag in het feit dat Cardex zijn privésleutel verkeerd had behandeld, waardoor gebruikers mogelijk blootgesteld waren.

"Als u ooit met deze app hebt gewerkt, annuleer dan uw sessies", waarschuwden ze en spoorden gebruikers aan om het web3-beveiligingstool Revoke Cash te gebruiken. Dit is een tool waarmee gebruikers tokengoedkeuringen in hun crypto wallets kunnen beheren en intrekken.

Hoewel de totale omvang van de verliezen nog moet worden vastgesteld, heeft 0xBeans beloofd om in een komende update een "grotere post-mortem" van het incident te publiceren.

Eén communitylid schatte de verliezen echter op basis van gegevens van Dune Analytics op ruim 180 ETH, wat op basis van de huidige prijzen neerkomt op iets meer dan $482.000.

Het beveiligingsbedrijf Quill Audits analyseerde de aanval en legde uit dat de exploitant een kwaadaardig contract had geïmplementeerd waarmee ze geld konden wegsluizen uit gecompromitteerde wallets, om het geld vervolgens wit te wassen.

De gestolen activa werden eerst via een bootloader-adres gestuurd voordat ze in het contract van de aanvaller terechtkwamen.

Vervolgens werden de fondsen verspreid over meerdere wallets. Dit is een veelgebruikte tactiek om het spoor te verdoezelen en het traceren van fondsen complexer te maken.

Volgens het rapport van Quill Audits bevatten ten minste drie van de geidentificeerde portemonnees van de aanvaller op het moment van het rapport ongeveer $ 30.000 gestolen ETH.

Ondertussen hebben gebruikers van de zogenaamd kwaadaardige dApp X overspoeld met frustraties en beschuldigingen. Ze noemden Cardex een oplichterij en eisten antwoorden.

Op het moment van schrijven heeft het Cardex-team nog geen verklaring afgelegd over de beschuldigingen. De ontwikkeling vindt plaats slechts enkele dagen nadat de dApp op 12 februari live ging.

Wat is een abstracte keten?

Abstract Chain, dat vorige maand werd gelanceerd, is een Ethereum Layer-2-netwerk dat is ontwikkeld door Igloo Inc., het bedrijf dat verantwoordelijk is voor de populaire NFT-collectie met de naam Pudgy Penguins.

Het maakt gebruik van de ZK Stack van zkSync om verschillende schaalbare en kosteneffectieve on-chain oplossingen te bieden.

Het probleem met de wallet drain doet zich ook voor slechts een dag nadat Abstract een belangrijke mijlpaal bereikte door meer dan 1 miljoen AGW-wallets te implementeren.

Met AGW kunnen gebruikers smart contract wallets aanmaken met behulp van vertrouwde inloggegevens, zoals e-mail of sociale accounts. Hierdoor kunnen gebruikers die niet bekend zijn met cryptovaluta, makkelijker een on-chain wallet opzetten.