Компанія Abstract повідомила про компрометацію сеансового ключа застосунку Cardex, що спричинило втрату користувачами майже 400 000 доларів у токенах.
Водночас представники Abstract запевняють, що цей інцидент не вплинув на безпеку криптогаманця Abstract Global Wallet.
Фахівці з безпеки L2-рішення Abstract виявили, що зловмисники отримали несанкціонований доступ до коштів після злому сесійного ключа Cardex. Сам застосунок, який є ончейн-грою у жанрі фентезі, було запущено 11 лютого 2025 року.
В Abstract наголосили, що проблема не пов’язана ані з їхнім криптогаманцем, ані з самою мережею. Причиною стала помилка безпеки безпосередньо у Cardex. Під час проходження аудиту команда застосунку випадково розкрила приватний ключ свого сесійного підписувача на фронтенді сайту. Це дозволило зловмисникам ініціювати транзакції з контрактами Cardex для будь-якого гаманця, який схвалив сесійний ключ.
При цьому інцидент не вплинув на токени стандарту ERC20 та NFT-користувачів.
В Abstract наголосили, що перед інтеграцією будь-якого застосунку проводять ретельні перевірки безпеки, включаючи особисте знайомство з командами розробників, співпрацю щодо вибору практик захисту та обов’язкові аудити.
“Наш головний пріоритет зараз — співпраця з Seal 911 [група експертів із безпеки в надзвичайних ситуаціях], щоб допомогти команді Cardex у розв’язанні проблеми та поверненні користувачів до нормальної роботи”, — зазначили представники Abstract.
Раніше видання видання Cryptonews писало, що оновлений варіант вірусу XCSSET загрожує користувачам macOS, зокрема їхнім криптовалютним гаманцям.
Шкідливе ПЗ інфікує проєкти Xcode, застосовуючи вдосконалені методи обфускації, нові механізми стійкості та складніші стратегії зараження.
