9.000 ví Abstract đã tương tác với ứng dụng game Cardex bị tấn công, thiệt hại 400.000 USD ETH. Đội ngũ dự án đang tích cực điều tra vụ việc nhằm khôi phục lại tài sản của người dùng.
9.000 ví Abstract bị tấn công, thiệt hại 400.000 USD
Ngày 18/02, một số thành viên trong cộng đồng báo cáo rằng ví Abstract của mình đã bị tấn công dẫn đến mất tiền. Nhà phát triển Abstract là 0xBeans cho biết đội ngũ đã nắm được tình hình và hiện đang tiến hành điều tra vụ việc:
We are aware of some Abstract users being compromised and want to assure everyone it is not a network wide Abstract Global Wallet (AGW) issue.
— 0xBeans (@0x_Beans) February 18, 2025
This issue seems to be isolated to an app (seems to be Cardex, please do not interact for the time being), we are working to get to the…
"Chúng tôi xác nhận có một số người dùng Abstract bị tấn công và muốn cảnh báo mọi người rằng đây không phải là vấn đề của toàn mạng lưới Abstract Global Wallet (AGW).
Mà chỉ bị giới hạn ở một ứng dụng là Cardex, nên mọi người đừng tương tác với ứng dụng này. Chúng tôi đang tiến hành xử lý."
Như Coin68 đã đưa tin, Abstract Chain là Ethereum Layer-2 được xây dựng trên bộ công cụ ZK Stack của ZKsync, vừa mainnet vào tháng 1. Đây là blockchain được phát triển bởi Igloo Inc., công ty mẹ sở hữu bộ sưu tập NFT nổi tiếng Pudgy Penguins vừa cũng vừa phát hành token giữa tháng 12.
Trong khi đó, Cardex là một trò game cho phép người dùng giao dịch các thẻ bài on-chain, mới ra mắt trên Abstract vào ngày 11/02 vừa qua.
Cardex is now live @AbstractChain !
— Cardex (@cardex_space) February 11, 2025
No code needed.
Trade, Compete, Win. Built on top of real TCG cards.
First 24 hrs is presale for early access users, then public. Tournament will start later. pic.twitter.com/nL7Lcx5IuR
Sang đến hôm nay 19/02, dự án chính thức công bố báo cáo đầu tiên về vụ việc:
Early this morning, the Abstract security team detected an exploit originating from Cardex, an app within The Portal. This was not a vulnerability in the Abstract Global Wallet (AGW) or the Abstract network itself but an isolated security failure by a third-party app (Cardex).…
— Abstract (@AbstractChain) February 18, 2025
Cụ thể, vụ tấn công chỉ liên quan đến 9.000 ví Abstract đã tương tác với ứng dụng game Cardex, làm thất thoát tổng cộng 400.000 USD giá trị token.
Nhưng vụ việc chỉ giới hạn ở phạm vi ứng dụng bên thứ ba là Cardex, chứ mạng lưới lõi và các ví Abstract Global Wallet (AGW) đều không bị ảnh hưởng.
Bọn hacker đã khai thác lỗ hổng trong phiên đăng nhập private key của đội ngũ Cardex từ front end website của họ. Điều này nằm ngoài phạm vi audit kỹ thuật của Abstract. Sau khi xâm nhập, hacker đã chiếm quyền thực hiện giao dịch từ hợp đồng của Cardex, nghĩa là ảnh hưởng đến tất cả các ví đã tương tác với hợp đồng.
Nhưng lỗ hổng chỉ cho phép bán ETH chứ không ảnh hưởng đến các token ERC-20 hay NFT có trong ví.
Hiện tại đội ngũ Abstract và Cardex đang hợp tác với Seal 911 để cố gắng khôi phục lại số tiền thất thoát.
Người dùng được khuyến khích revoke tương tác với hợp đồng Cardex, còn kế hoạch bồi thường vẫn chưa được công bố.
Coin68 tổng hợp
