Abstract tarafından yayınlanan ilk inceleme raporuna göre, Abstract Layer 2 blok zincirindeki büyük bir güvenlik ihlali, 9.000 kullanıcı cüzdanından 400.000 dolar değerinde Ethereum (ETH) tehlikeye düşmesine yol açtı.
Cardex Exploit 9.000 Cüzdandan 400.000 Dolarlık Hacker Saldırısı
Erken farkedilen saldırı, kötü niyetli bir hackerın Abstract üzerinde çalışan blok zinciri tabanlı bir oyun olan Cardex ile etkileşime giren kullanıcı cüzdanlarına erişim sağladığı bir “oturum anahtarı saldırısı” olarak tanımlandı.
Saldırı Nasıl Gerçekleşti?
Hack olayının Cardex’in ön uç kodundaki sızan bir anahtardan kaynaklandığını ve bunun tüm Cardex oyuncuları tarafından kullanılan paylaşılan bir oturum imzalayıcı cüzdanını tehlikeye attığını açıklandı.
Hacker şunları yapmaya çalıştı:
- Kullanıcılar adına işlem yaparak etkin bir şekilde ETH çalmak.
- ERC-20 tokenleri ve NFT’ler etkilenmemiş olsa da kullanıcı varlıklarını satmak.
Ön inceleme, saldırının Abstract’ın çekirdek blok zincirindeki veya Küresel Cüzdanındaki (AGW) bir arızadan değil, Cardex’in oturum anahtarlarını ele almadaki zayıf güvenlik yönetiminden kaynaklandığını vurguladı.
Oturum anahtarları, uygulamaların cüzdanlara geçici ve sınırlı erişim oluşturmasına olanak tanıyarak kullanıcı deneyimini geliştirmek için kullanılır. Ancak, kritik kimlik bilgilerinin ifşa edilmesi gibi uygunsuz güvenlik uygulamaları bunun gibi ihlallere yol açabilir.
Saldırgan, Cardex’in oturum anahtarlarını yanlış yönetmesinden faydalanarak kullanıcı cüzdanları üzerinde yetkisiz kontrol elde etti.
Abstract’ın Yanıtı ve Kullanıcı Tavsiyesi
Abstract, riski azaltmak için acil adımlar atmıştır:
- Kullanıcıları Cardex ile aktif oturumları iptal etmeye çağırdı.
- Abstract’ın portalında oturum anahtarlarını kullanan tüm projeler için zorunlu güvenlik denetimleri duyuruldu.
- Çekirdek Abstract ağının güvenli kalmaya devam ettiği teyit edildi.
*Yatırım tavsiyesi değildir.
