Invezz

Ethereum L2 Abstract Chain detectează problema de scurgere a portofelului după ce utilizatorii semnalează fondurile lipsă

Ethereum L2 Abstract Chain detectează problema de scurgere a portofelului după ce utilizatorii semnalează fondurile lipsă
Rony Roy
18 feb. 2025, 18:44 P.M.
  • Utilizatorii Abstract Chain raportează că fondurile le dispar din portofel.
  • Dezvoltatorii spun că problema provine de la Cardex, un joc de tranzacționare cu carduri tokenizate recent lansat în rețea.
  • Estimările inițiale sugerează că au fost scurse peste 400.000 USD de ETH.

Mai mulți utilizatori Abstract Chain au raportat că le-au fost epuizate fondurile, în timp ce dezvoltatorii au susținut că problema provine de la o anumită aplicație din rețea.

Pe 18 februarie, un număr de utilizatori Abstract Global Wallets au raportat retrageri neașteptate de fonduri, stârnind îngrijorări cu privire la o potențială încălcare a securității.

Portofelele exploatate și-au văzut soldurile șterse, lăsând utilizatorii să caute răspunsuri.

Ce s-a întâmplat?

Considerată inițial a fi o exploatare externă a contractelor inteligente ale rețelei, preocupările s-au îndreptat rapid către o aplicație specifică.

La câteva ore după ce au apărut rapoartele inițiale, dezvoltatorul Abstract Chain 0xBeans a asigurat utilizatorii că problema nu a fost o vulnerabilitate la nivelul rețelei Abstract Global Wallet, ci a fost legată de Cardex, un joc de cărți de tranzacționare tokenizat, construit pe ecosistemul Abstract.

„Suntem conștienți că unii utilizatori Abstract sunt compromisi”, au postat ei pe X, îndemnând utilizatorii să evite interacțiunea cu Cardex în timp ce echipa investiga.

Într-o postare ulterioară, 0xBeans a clarificat că cauza principală a fost că Cardex gestionează greșit cheia privată, ceea ce ar fi putut lăsa utilizatorii expuși.

„Dacă ați interacționat vreodată cu această aplicație, revocați-vă sesiunile”, au avertizat aceștia, îndemnând utilizatorii să folosească instrumentul de securitate web3 Revoke Cash, un instrument care le permite utilizatorilor să gestioneze și să revoce aprobările token-urilor pentru portofelele lor cripto.

Deși amploarea totală a pierderilor nu a fost încă determinată, 0xBeans a promis că va publica un „post-mortem mai mare” al incidentului într-o actualizare viitoare.

Cu toate acestea, un membru al comunității, citând datele Dune Analytics, a estimat pierderi de peste 180 ETH, care se ridică la puțin peste 482.000 USD pe baza prețurilor actuale.

Firma de securitate în lanț Quill Audits a analizat atacul, explicând că exploatatorul a desfășurat un contract rău intenționat care le-a permis să sifoneze fonduri din portofelele compromise înainte de a începe să spăleze fondurile.

Bunurile furate au trecut mai întâi printr-o adresă de bootloader înainte de a fi canalizate în contractul atacatorului.

De acolo, fondurile au fost dispersate în mai multe portofele, o tactică comună folosită pentru a întuneca traseul și pentru a face urmărirea fondurilor mai complexă.

Dintre portofelele identificate, la momentul raportului Quill Audits, cel puțin trei dintre portofelele atacatorului dețineau aproximativ 30.000 de dolari în ETH furat.

Între timp, utilizatorii dApp-ului presupus rău intenționat l-au inundat pe X cu frustrare și acuzații, numind Cardex o înșelătorie și cerând răspunsuri.

Până la momentul presării, echipa Cardex nu a emis încă o declarație cu privire la acuzații. Dezvoltarea vine la doar câteva zile după ce dApp a intrat în funcțiune pe 12 februarie.

Ce este lanțul abstract?

Lansată luna trecută, Abstract Chain este o rețea Ethereum Layer-2 dezvoltată de Igloo Inc., compania responsabilă pentru populara colecție NFT numită Pudgy Penguins.

Utilizează stiva ZK de la zkSync pentru a oferi diverse soluții on-chain scalabile și rentabile.

Problema epuizării portofelului vine și la doar o zi după ce Abstract a atins o piatră de hotar majoră prin implementarea a peste 1 milion de portofele AGW.

AGW le permite utilizatorilor să creeze portofele cu contracte inteligente folosind autentificări familiare, cum ar fi e-mail sau conturi sociale, facilitând utilizatorilor nativi non-cripto configurarea unui portofel în lanț.