9.000 ví liên kết với game blockchain Cardex bị thiệt hại $400.000 trong sự cố bảo mật nghiêm trọng

Updated: 19/02/2025 at 17:59

Abstract, một blockchain Layer 2, gần đây đã công bố báo cáo sơ bộ về một sự cố bảo mật nghiêm trọng ảnh hưởng đến hàng nghìn ví liên kết với Cardex, một game blockchain hoạt động trên mạng. Sự cố này đã được phát hiện vào thứ Ba và được mô tả là một vụ “session key hack – hack khóa phiên”*, trong đó kẻ tấn công đã xâm nhập vào các ví đã tương tác với Cardex và thực hiện giao dịch rút tiền trái phép.

Theo báo cáo từ người đóng góp ẩn danh, Cygaar, lỗ hổng bảo mật này liên quan đến việc ví người ký phiên bị xâm phạm và được chia sẻ giữa tất cả người dùng Cardex thông qua một khóa bị rò rỉ trong mã giao diện người dùng của Cardex. Lỗ hổng này cho phép kẻ tấn công truy cập vào các ví và thực hiện các giao dịch không được ủy quyền.

Theo thông tin từ Abstract, sự cố bảo mật này đã khiến người dùng mất một khoản tiền lớn lên tới 400.000 đô la, ảnh hưởng đến khoảng 9.000 ví. Điều này có nghĩa là kẻ tấn công có thể thực hiện các giao dịch thay mặt người dùng, bao gồm việc chuyển nhượng và bán cổ phiếu để chiếm đoạt Ethereum (ETH). Tuy nhiên, vụ exploit này không ảnh hưởng đến các token ERC20 hoặc NFT của người dùng, điều này phần nào giảm bớt thiệt hại đối với các tài sản kỹ thuật số khác.

Bản báo cáo sau sự cố cũng làm rõ rằng sự cố này không phải là một vấn đề phổ biến liên quan đến Abstract Global Wallet (AGW) hay mạng cốt lõi của Abstract, mà là một sự cố riêng biệt do Cardex xử lý sai thông tin xác thực ví quan trọng, đặc biệt là khóa phiên. AGW sử dụng khóa phiên để cho phép các ứng dụng tạo ra các phiên giới hạn, có phạm vi, nhằm cải thiện trải nghiệm người dùng. Các khóa này cho phép quyền truy cập vào các chức năng ví cụ thể cho bên thứ ba và cần được quản lý cẩn thận để ngăn ngừa việc cấp quyền cho các thực thể độc hại.

Cuộc tấn công đã khai thác lỗ hổng trong cách Cardex quản lý khóa phiên, cấp quyền truy cập tạm thời vào các chức năng ví của người dùng, dẫn đến việc kẻ tấn công có thể thực hiện các giao dịch không mong muốn. Trước sự cố này, nhóm Abstract đã đưa ra khuyến cáo ngay lập tức đến người dùng, yêu cầu họ ngừng tương tác với Cardex và thu hồi tất cả các phiên đang hoạt động với ứng dụng này để giảm thiểu rủi ro.

Ngoài ra, Abstract cũng yêu cầu tất cả các dự án sử dụng khóa phiên trong cổng thông tin Abstract phải trải qua một quy trình kiểm toán nghiêm ngặt để đảm bảo an toàn và bảo mật cho người dùng trong tương lai.

Abstract là một mạng Layer 2 được phát triển bởi Igloo Inc., công ty mẹ đứng sau Pudgy Penguins, với mục tiêu tạo ra những giải pháp blockchain hiệu quả, an toàn và thân thiện với người tiêu dùng.

*Session key hack (tấn công khóa phiên) là một hình thức tấn công mạng mà hacker lợi dụng lỗ hổng bảo mật để chiếm đoạt hoặc giả mạo khóa phiên (session key) của người dùng, từ đó có thể truy cập và điều khiển các tài khoản hoặc phiên làm việc mà không cần phải xác thực lại.

Một session key là một khóa mã hóa tạm thời được tạo ra trong quá trình thiết lập kết nối bảo mật giữa người dùng và máy chủ (chẳng hạn như trong các giao dịch trực tuyến hoặc trong môi trường web). Khi hacker chiếm đoạt được session key, họ có thể “lừa” hệ thống và tiếp tục phiên làm việc của người dùng, khiến người dùng không nhận ra rằng tài khoản của họ đã bị xâm nhập.

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Tham gia Telegram: https://t.me/tapchibitcoinvn

Twitter (X): https://twitter.com/tapchibtc_io

Tiktok: https://www.tiktok.com/@tapchibitcoin

Youtube: https://www.youtube.com/@tapchibitcoinvn

Lilly

Được đề cập trong bài viết
Bình luận
Mới cập nhật

Vào ngày 20/6, một chỉ báo on-chain quan trọng theo dõi hoạt động của các holder ETH dài hạn (LTH) đã ghi nhận mức cao kỷ lục, cho thấy áp lực bán từ nhóm này đang gia tăng đáng kể. Sự gia tăng bán ra này diễn ra trong bối... ...

Thị trường Bitcoin (BTC) gần đây đang duy trì một trạng thái cân bằng mong manh, dễ vỡ. Trên thực tế, đà tăng hiện tại có vẻ đang được chống đỡ bởi mức lợi nhuận thực tế thấp và tín hiệu cho thấy nhu cầu đang suy yếu — những... ...

Pump.fun, một nền tảng khởi tạo memecoin ra mắt vào đầu năm 2024, đã phát triển nhanh chóng nhờ việc giúp bất kỳ ai có thể tạo và giao dịch token mà gần như không cần kiến thức kỹ thuật. Giờ đây, team đang lên kế hoạch bán token riêng... ...

Giám đốc điều hành của nền tảng nghiên cứu tiền điện tử Real Vision, Raoul Pal, gần đây đã chia sẻ một dự báo lạc quan về thị trường tiền điện tử hiện tại, cho rằng thị trường hiện tại đang phản ánh một mô hình tương tự như năm 2017.... ...

Ethereum (ETH) có thể đang bị định giá thấp một cách nghiêm trọng so với tiềm năng dài hạn của nó, đặc biệt nếu thị trường stablecoin tăng trưởng lên mức 3.700 tỷ đô la vào năm 2030. Nhận định này được đưa ra bởi Tom Lee – Nhà phân... ...

Bitcoin đã tăng từ 40.000 đô la lên 75.000 đô la khi ETF giao ngay được Hoa Kỳ chấp thuận và sau đó tăng lên trên 100.000 đô la trong bối cảnh nới lỏng quy định theo chính quyền ủng hộ tiền điện tử của Trump. Nhưng theo CEO Hunter... ...

Trong bối cảnh căng thẳng địa chính trị leo thang tại Trung Đông, thị trường crypto đã trải qua một đợt biến động mạnh trong tuần này. Tuy nhiên, những holder quy mô lớn, thường được gọi là cá voi, vẫn hoạt động tích cực, cẩn thận tích lũy các... ...

Thị trường crypto tiếp tục biến động khi sắp kết thúc tháng 6, với một số coin Made in USA ghi nhận mức tăng đáng kể. Một cái tên nổi bật là Sei, hiện đang tăng giá do được chọn làm ứng cử viên blockchain cho stablecoin WYST hỗ trợ... ...

Mạng lưới Sei (SEI) đang chứng kiến một đợt bùng nổ hoạt động ấn tượng, với số lượng giao dịch hàng ngày vượt ngưỡng 1,5 triệu và hơn 616.000 ví hoạt động – những con số phản ánh rõ rệt sự sôi động ngày càng gia tăng của hệ sinh... ...

Pi Network (PI) sẽ kỷ niệm sự kiện Pi2Day thường niên vào ngày 28 tháng 6 năm 2025, trong bối cảnh có nhiều đồn đoán về tiến trình phát triển của hệ sinh thái và việc niêm yết tiềm năng. Với ý nghĩa là 6.28, nhân đôi so với Pi... ...

Xem thêm bài viết
Chọn chế độ hiển thị:
Bình thường Bảo vệ mắt Dark Mode