Взлом AbstractChain. Разбор
Всем привет! На связи @fomichh и сегодня мы с вами попробуем полностью погрузиться во взлом Abstract. Разберем как это было с точки зрения технической части, разберем реакцию на этот взлом, а самое главное ответим на вопрос: "А верим ли мы заявлению разрабов?". Но давайте по порядку. Для начала подпишись на канал https://t.me/fomichh , а теперь поехали изучать что же случилось.
Взломы в крипте не являются чем-то новым. Недавно был взломан всеми любимый антидетект браузер ADS Power. Давайте разберем насколько крупным был взлом - хакер вынес порядка 500 000$, что не является существенной суммой (для взлома, для меня существенная так то). Советую ознакомиться с кошельком хакера:
Также создана Дюна, где видно сколько всего денег вывел хакер
Как был осуществлен взлом?
По официальной версии Abstract взлом был осуществлен именно через апку под названием Cardex (блокчейн игра)
Давайте окунемся в документацию чейна, а именно в понятие Session keys => ТЫК
Session keys are temporary keys that are approved to execute a pre-defined set of actions on behalf of an Abstract Global Wallet without the need for the owner to sign each transaction.
Если простым языком, то это что-то типо автоапрува, но с большей защитой(нет). Вместо того чтобы создавать уникальные сессионные ключи для каждого пользователя, Cardex использовал один и тот же сессионный ключ для всех. А это открывает риски для всех пользователей, если ключ скомпрометирован. Технология то прикольная, но Cardex неправильно настроили не только сессионный ключ, но и игру (ключ достали через внешний код игры), за счет этого деньги то и вытянули. Также у Abstract есть история с активными сессиями. То есть если вы их не сбросите, то аппка будет иметь доступ к вашему кошельку. Так что если вы после взлома пользуетесь Abstract, то не забывайте сбрасывать сессии => ТЫК А также поставьте Google 2FA
- Пользователи одобрили смарт-контракт на перевод своих активов
- Команда опубликовала закрытый ключ, который контролировал смарт-контракт
- Затем смарт-контракт был использован для кражи активов
Что не сходится? Мнение по поводу взлома
Abstract заявляют, что был взломан только Cardex. По сумме так то сходится. Денег украли действительно немного, на самом деле только этот факт не дает моему воображению выстроить миллиард конспирологических теорий. В момент взлома у них в дискорде было огромное колво сообщений о том, что пользователи не использовали Cardex, но их все равно сдрейнили. Да что уж тут говорить - по ру коммьюнити пошел такой же слушок. Действительно началась паника, ребята выводили деньги даже из пулов ликвидности, откуда их достать было невозможно. Итог: по сумме сходиться с Cardex, но есть ощущение, что дело не только в нем. Одно дело, если бы о дрейне без Cardex написал один/два человека, а этими заявлениями был заполнен весь дискорд
По поводу моего мнения - для меня мега странный мув от Abstract. Сеть позиционировала себя как супер безопасный ресурс для обычных людей. В итоге взломали через фротенд игры, которую они шиллили) Что-то с безопасностью вообще не сходится. Плюсом я не могу понять с чем связана настолько странная настройка сессион кий. Понятно, что так элементарно легче было сделать, но логично сделать автозавершение сессии, например, если она неактивна на протяжении определенного колва времени. С Cardex явно не были проведены аудиты по безопасности, либо проводили их не достаточно тщательно. Я не считаю, что Абстракт виноват во взломе, естественно косяк Cardex, но по факту это достаточно пошатнуло репутацию. Взлом явно отразился на активности в сети Abstract, а значит фармить его будет в разы проще - это из плюсов. Ну а у меня на сегодня все, спасибо, что дочитал до конца! Не забывай подписывать на канал https://t.me/fomichh , потому что мне это надо, я так захотел. И до новых встреч!