9.000 ví liên kết với game blockchain Cardex bị thiệt hại $400.000 trong sự cố bảo mật nghiêm trọng

Abstract, một blockchain Layer 2, gần đây đã công bố báo cáo sơ bộ về một sự cố bảo mật nghiêm trọng ảnh hưởng đến hàng nghìn ví liên kết với Cardex, một game blockchain hoạt động trên mạng. Sự cố này đã được phát hiện vào thứ Ba và được mô tả là một vụ “session key hack – hack khóa phiên”*, trong đó kẻ tấn công đã xâm nhập vào các ví đã tương tác với Cardex và thực hiện giao dịch rút tiền trái phép.

Theo báo cáo từ người đóng góp ẩn danh, Cygaar, lỗ hổng bảo mật này liên quan đến việc ví người ký phiên bị xâm phạm và được chia sẻ giữa tất cả người dùng Cardex thông qua một khóa bị rò rỉ trong mã giao diện người dùng của Cardex. Lỗ hổng này cho phép kẻ tấn công truy cập vào các ví và thực hiện các giao dịch không được ủy quyền.

Theo thông tin từ Abstract, sự cố bảo mật này đã khiến người dùng mất một khoản tiền lớn lên tới 400.000 đô la, ảnh hưởng đến khoảng 9.000 ví. Điều này có nghĩa là kẻ tấn công có thể thực hiện các giao dịch thay mặt người dùng, bao gồm việc chuyển nhượng và bán cổ phiếu để chiếm đoạt Ethereum (ETH). Tuy nhiên, vụ exploit này không ảnh hưởng đến các token ERC20 hoặc NFT của người dùng, điều này phần nào giảm bớt thiệt hại đối với các tài sản kỹ thuật số khác.

Bản báo cáo sau sự cố cũng làm rõ rằng sự cố này không phải là một vấn đề phổ biến liên quan đến Abstract Global Wallet (AGW) hay mạng cốt lõi của Abstract, mà là một sự cố riêng biệt do Cardex xử lý sai thông tin xác thực ví quan trọng, đặc biệt là khóa phiên. AGW sử dụng khóa phiên để cho phép các ứng dụng tạo ra các phiên giới hạn, có phạm vi, nhằm cải thiện trải nghiệm người dùng. Các khóa này cho phép quyền truy cập vào các chức năng ví cụ thể cho bên thứ ba và cần được quản lý cẩn thận để ngăn ngừa việc cấp quyền cho các thực thể độc hại.

Cuộc tấn công đã khai thác lỗ hổng trong cách Cardex quản lý khóa phiên, cấp quyền truy cập tạm thời vào các chức năng ví của người dùng, dẫn đến việc kẻ tấn công có thể thực hiện các giao dịch không mong muốn. Trước sự cố này, nhóm Abstract đã đưa ra khuyến cáo ngay lập tức đến người dùng, yêu cầu họ ngừng tương tác với Cardex và thu hồi tất cả các phiên đang hoạt động với ứng dụng này để giảm thiểu rủi ro.

Ngoài ra, Abstract cũng yêu cầu tất cả các dự án sử dụng khóa phiên trong cổng thông tin Abstract phải trải qua một quy trình kiểm toán nghiêm ngặt để đảm bảo an toàn và bảo mật cho người dùng trong tương lai.

Abstract là một mạng Layer 2 được phát triển bởi Igloo Inc., công ty mẹ đứng sau Pudgy Penguins, với mục tiêu tạo ra những giải pháp blockchain hiệu quả, an toàn và thân thiện với người tiêu dùng.

*Session key hack (tấn công khóa phiên) là một hình thức tấn công mạng mà hacker lợi dụng lỗ hổng bảo mật để chiếm đoạt hoặc giả mạo khóa phiên (session key) của người dùng, từ đó có thể truy cập và điều khiển các tài khoản hoặc phiên làm việc mà không cần phải xác thực lại.

Một session key là một khóa mã hóa tạm thời được tạo ra trong quá trình thiết lập kết nối bảo mật giữa người dùng và máy chủ (chẳng hạn như trong các giao dịch trực tuyến hoặc trong môi trường web). Khi hacker chiếm đoạt được session key, họ có thể “lừa” hệ thống và tiếp tục phiên làm việc của người dùng, khiến người dùng không nhận ra rằng tài khoản của họ đã bị xâm nhập.

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

Tham gia Telegram: https://t.me/tapchibitcoinvn

Twitter (X): https://twitter.com/tapchibtc_io

Tiktok: https://www.tiktok.com/@tapchibitcoin

Youtube: https://www.youtube.com/@tapchibitcoinvn

• Tài khoản X của đồng sáng lập WLFI nhà Trump bị hack, quảng bá memecoin giả
• Hoa Kỳ buộc tội công dân Canada vì vụ hack KyberSwap và Indexed Finance trị giá 65 triệu đô la

Lilly