Invezz

Ethereum L2 Abstract Chain investiga problema de esvaziamento de carteiras após usuários relatarem fundos desaparecidos

Ethereum L2 Abstract Chain investiga problema de esvaziamento de carteiras após usuários relatarem fundos desaparecidos
Rony Roy
18 de fev. de 2025, 13:43 PM
  • Usuários da Chain relatam o desaparecimento de fundos de suas carteiras.
  • Os desenvolvedores afirmam que o problema decorre do Cardex, um jogo de negociação de cartas tokenizadas recém-lançado na rede.
  • Estimativas iniciais sugerem que mais de US$ 400 mil em ETH foram drenados.

Vários usuários do Abstract Chain relataram que seus fundos foram drenados, enquanto os desenvolvedores alegaram que o problema se origina de um aplicativo específico na rede.

Em 18 de fevereiro, vários usuários da Abstract Global Wallets relataram saques inesperados de fundos, levantando preocupações sobre uma possível violação de segurança.

As carteiras exploradas tiveram seus saldos inteiros apagados, deixando os usuários procurando por respostas.

O que aconteceu?

Inicialmente considerado um ataque externo aos contratos inteligentes da rede, as preocupações rapidamente se voltaram para um aplicativo específico.

Poucas horas após os primeiros relatos, o desenvolvedor do Abstract Chain, 0xBeans, tranquilizou os usuários, afirmando que o problema não era uma vulnerabilidade generalizada da Abstract Global Wallet, mas sim relacionado ao Cardex, um jogo de cartas colecionáveis tokenizado construído no ecossistema Abstract.

"Estamos cientes de que alguns usuários do Abstract foram comprometidos", eles postaram no X, pedindo aos usuários que evitassem interagir com o Cardex enquanto a equipe investigava.

Em uma publicação subsequente, 0xBeans esclareceu que a causa raiz foi o manuseio inadequado da chave privada pela Cardex, o que pode ter deixado os usuários expostos.

“Se você já interagiu com este aplicativo, revogue suas sessões”, alertaram, instando os usuários a usar a ferramenta de segurança web3 Revoke Cash, uma ferramenta que permite aos usuários gerenciar e revogar aprovações de tokens em suas wallets para criptomoedas.

Embora a extensão total das perdas ainda não tenha sido determinada, o 0xBeans prometeu divulgar um “post-mortem maior” do incidente em uma próxima atualização.

No entanto, um membro da comunidade citando dados da Dune Analytics estimou perdas de mais de 180 ETH, o que equivale a pouco mais de US$ 482.000 com base nos preços atuais.

A empresa de segurança on-chain Quill Audits analisou o ataque, explicando que o explorador implantou um contrato malicioso que lhe permitiu desviar fundos de carteiras comprometidas antes de começar a lavá-los.

Os ativos roubados primeiro passaram por um endereço de carregador de inicialização antes de serem direcionados para o contrato do atacante.

A partir daí, os fundos foram dispersos por várias carteiras, uma tática comum usada para obscurecer o rastro e tornar o rastreamento dos fundos mais complexo.

Entre as carteiras identificadas, no momento do relatório da Quill Audits, pelo menos três das carteiras do atacante continham cerca de US$ 30.000 em ETH roubados.

Enquanto isso, usuários do supostamente malicioso dApp inundaram o X com frustração e acusações, chamando a Cardex de golpe e exigindo respostas.

Até o fechamento desta edição, a equipe da Cardex ainda não emitiu um comunicado sobre as alegações. O acontecimento ocorre poucos dias após o lançamento do dApp, em 12 de fevereiro.

O que é cadeia abstrata?

Lançada no mês passado, a Abstract Chain é uma rede Ethereum Layer-2 desenvolvida pela Igloo Inc., a empresa responsável pela popular coleção NFT chamada Pudgy Penguins.

Ele utiliza o ZK Stack do zkSync para oferecer diversas soluções on-chain escaláveis e econômicas.

O problema de drenagem da carteira também ocorre apenas um dia depois que a Abstract atingiu um marco importante ao implantar mais de 1 milhão de carteiras AGW.

O AGW permite que os usuários criem carteiras de contratos inteligentes usando logins familiares, como e-mail ou contas sociais, tornando mais fácil para usuários não nativos de criptomoedas configurarem uma carteira on-chain.