Abstract Chainのユーザーが侵害を受けており、Cardexアプリに関連している可能性が高い

EVM互換のL2ソリューションであるAbstracChainで複数のユーザーが不正アクセスを受けましたが、問題は特定のウォレットに限定されていました。AbstracChainは、プラットフォームは依然として安全であり、ネットワーク全体に影響を与える問題は確認されていないと述べています。.

オンチェーン調査員が指摘したように、Cardex アプリに接触した AbstracChain ユーザーは個別に影響を受ける可能性があります。. 

AbstracChainチームは、ネットワークが安全であり、どのウォレットにも攻撃が発生していないことを確認しました。チームは、問題の原因を特定のアプリに tracしました。.

一部の Abstract ユーザーが侵害を受けていることは認識しており、これはネットワーク全体の Abstract Global Wallet (AGW) の問題ではないことを皆様に保証したいと思います。.

この問題はアプリ（Cardex のようですが、当面は操作しないでください）に限定されているようです。現在、解決に向けて取り組んでいます。

— 0xBeans (@0xbeans) 2025年2月18日

彼らは流出した資金の額を公表せず、さらなる損失を防ぐため脆弱性を秘密にしておくことを目指している。.

Cardexは 2月12日以降、 Abstracが、既に提携に伴う最初の問題に直面しています。Cardexはコレクターアイテムとゲームを提供するアプリで、現在もトーナメントを開催しており、これによりさらに多くのウォレットが流出した可能性があります。 t Chainで稼働を開始しましたこの混乱の中、ユーザーからはAbs 全アカウントで2段階認証（2FA）を有効にするよう提案がありましたtrac。  t Chainの

tracチェーンウォレットは他のウォレットやアカウントに影響を与えます

一部のAbstracttracは、 、 Cardexと連携していたウォレットだけでなく あらゆる種類のウォレットから資金が抜き取られたと指摘した。Web3の調査員は、dentした。ウォレットをアプリに接続する悪意のあるセッションにより、攻撃者は1か月間、すべてのウォレットにアクセスできた。 この攻撃を「初回セッションキーのハッキング」と

現在、 @AbstractChain の「最初のセッションキーのハッキング」に投資しています。関連情報をチームに送信しました！

この悪意のある SC:
0xee580828b426b6cc33817bCE419DaF65a516aA7e は、セッション キー署名からユーザーの権限を取得し、約 1 か月間ウォレットに対する完全な権限を与えました。

かなり大きいですね :/ pic.twitter.com/wNxjHC6ngl

— RpGmAx (@RpGmAx) 2025年2月18日

最近のハッキング事件を受け、オンチェーン調査員はユーザーにすべてのアプリ、特にCardexからの接続を切断するよう勧告しました。ユーザーはウォレットから資金を移動し、Cardexへのすべての権限を削除するよう強く求められています。.

進行中の調査により、侵害されたウォレットから資金を蓄積しているアドレスが判明しました。ハッキングから2時間も経たないうちに、その金額は比較的少額の24,520ドルにまで減少しました。そのほとんどが Ethereum （ETH）で、他のコインやトークンは影響を受けていません。. 

さらに、悪意のあるウォレットは最大50ETHを保有しており、ウォレットからの資金流出は依然として続いています。ウォレットが 侵害されると、 に許可を与えているためtrac、資金は悪用者のアドレスに送金されます。

2FAが有効になっているウォレットでも、trac者に許可を与えているため、資金が流出する可能性があるという噂もあります。. 

最終 残高は 不明である。最大8万1000ドルが引き出されたというデータが存在する。資金は移動されたようだが、送金取引は確認されていない。 

オンチェーンデータによると、ハッカーのウォレットには7,000件以上の受信トランザクションが送信されていた。この活動レベルは、影響を受けたウォレットの数を示唆している。これらのトランザクションのほとんどは少額のETHに関するもので、ウォレットは小規模なオンチェーン利用や娯楽アプリに使用されている。 

ウォレットハッキングがWeb3の普及を脅かす

通常のウェブ サービスに似たログインを提供する Abstracウォレットは、Web3 のより広範な採用に対する答えの 1 つと見なされました。.

Abstract Chainウォレットのハッキングにより、これらのツールはブロックチェーン経験のないユーザーには完全には適していないことが明らかになりました。エコシステム内のあらゆるtracが侵害される可能性があるため、アプリ接続は依然としてリスクを伴います。.

現在知られている唯一の安全策は、すべてのアプリの権限を停止し、可能であれば資金を安全なウォレットに移すことです。また、合計17,304件の受信トランザクションが脆弱なウォレットのプールを使い果たした後、攻撃は停止の兆候を示しました。.

流出した資金の総額は31,570ドルに達した。他の推定では、ハッカーのウォレットから資金が流出し、攻撃開始以来の損失額は10万ドルを超えているとされている。推定値は大きく異なり、オンチェーンエクスプローラーの中には、最大 300ETH が流出したと確認した者もいる。 

Abstract Chainは、ユーザーがアプリのセッションを作成できる仕組みで、これによりユーザーのアドレスが漏洩する可能性があります。このチェーンは Pudgy Penguins コミュニティと連携しているため、依然として高い人気を誇っています。しかしながら、ユーザーセッションとアプリの権限は、ウォレットを侵害する上で依然として脆弱な点となっている可能性があります。