- O ataque resultou em cerca de US$ 400.000 em fundos comprometidos, afetando 9.000 carteiras
- O incidente foi descrito como um “hack de chave de sessão”
- A Abstract recomendou que os usuários revogassem as sessões ativas do Cardex para evitar novas perdas.
O protocolo Cardex, um jogo baseado em blockchain, sofreu um exploit que comprometeu aproximadamente US$ 400.000 em Ethereum (ETH). O ataque afetou 9.000 carteiras que interagiram com a plataforma.
Segundo a empresa Abstract, que opera a blockchain Layer 2 do Cardex, o incidente ocorreu devido a uma vulnerabilidade nos session keys, permitindo que um invasor realizasse transações não autorizadas.
Falha de segurança explorou chaves de sessão do Cardex
Em princípio, o ataque foi descrito como um “session key hack”, um tipo de vulnerabilidade que ocorre quando chaves de sessão comprometidas permitem acesso indevido a carteiras de usuários. No caso do Cardex, um invasor conseguiu explorar essa falha e transferir fundos de milhares de carteiras.
https://twitter.com/0xCygaar/status/1891948692204368122
O desenvolvedor pseudônimo Cygaar, da Abstract, explicou que a brecha ocorreu porque um session signer wallet compartilhado por todos os usuários do protocolo Cardex foi comprometido. Logo isso permitiu que o atacante autorizasse transações em nome dos jogadores, desviando seus fundos.
Cygaar acrescentou que usuários que nunca interagiram com Cardex não correm risco. Além disso, a equipe Abstract atualizou o contrato Cardex para corrigir a vulnerabilidade.
A Abstract esclareceu que o ataque não afetou tokens ERC-20 da Ethereum, NFTs ou a rede principal da Abstract Global Wallet (AGW). Portanto, o problema foi exclusivo do Cardex, devido à má administração de credenciais.
Medidas de mitigação e resposta da Abstract
Após detectar o incidente, a Abstract recomendou que os usuários revogassem as sessões ativas do Cardex para evitar novas perdas. Além disso, a empresa também afirmou que todos os projetos que utilizam session keys em sua rede passarão por auditorias adicionais para prevenir problemas semelhantes.
A Abstract, desenvolvida pela Igloo Inc., empresa responsável pela Pudgy Penguins, garantiu que a falha foi um caso isolado. No entanto, o incidente levanta preocupações sobre a segurança de aplicações descentralizadas que utilizam chaves de sessão para melhorar a experiência do usuário.
O mercado agora observa como a Abstract e o Cardex lidarão com a recuperação dos fundos e a proteção das vitimas. A necessidade de reforçar a segurança das dApps e redes Layer 2 segue sendo um desafio para o setor cripto.
