เครือข่ายเลเยอร์ 2 แอ็บสแตรคต์(Abstract) ถูกแฮ็ก สูญ 400,000 ดอลลาร์จากช่องโหว่ในเกมคาร์เด็กซ์(Cardex)

Thu, 20 Feb 2025, 06:22 am UTC

เครือข่ายเลเยอร์ 2 แอ็บสแตรคต์(Abstract) ถูกแฮ็ก สูญ 400,000 ดอลลาร์จากช่องโหว่ในเกมคาร์เด็กซ์(Cardex) / Tokenpost

เครือข่ายเลเยอร์ 2 ของอีเธอเรียม(ETH) ‘แอ็บสแตรคต์’(Abstract) ถูกแฮ็ก สูญเสียสินทรัพย์คริปโตราว 400,000 ดอลลาร์ผ่านแพลตฟอร์มเกม ‘คาร์เด็กซ์’(Cardex)

เมื่อเร็ว ๆ นี้ มีเหตุการณ์การโจรกรรมสินทรัพย์คริปโตมูลค่าประมาณ 400,000 ดอลลาร์ (ราว 14.3 ล้านบาท) บน ‘แอ็บสแตรคต์’(Abstract) ซึ่งเป็นเครือข่ายเลเยอร์ 2 ของอีเธอเรียม(ETH) โดยการโจมตีเกิดขึ้นผ่านช่องโหว่ในแพลตฟอร์มเกมบล็อกเชน ‘คาร์เด็กซ์’(Cardex)

ตามรายงานหลังเหตุการณ์ แอ็บสแตรคต์ยืนยันว่าการแฮ็กครั้งนี้ไม่ได้เกิดจากปัญหาของโครงสร้างพื้นฐานหรือสัญญาอัจฉริยะของเครือข่ายเอง แต่มีต้นเหตุจากจุดอ่อนในโค้ดของฟรอนต์เอนด์ของคาร์เด็กซ์

**รายละเอียดการโจมตี**

จุดอ่อนสำคัญของการโจมตีครั้งนี้อยู่ที่การจัดการ ‘คีย์เซสชัน’ ซึ่งเป็นฟีเจอร์ที่แอ็บสแตรคต์ใช้เพื่อเพิ่มความสะดวกในการทำธุรกรรม นักพัฒนาของคาร์เด็กซ์เลือกใช้กระเป๋าเงินเดี่ยวที่ใช้ร่วมกันระหว่างผู้ใช้ทั้งหมด ซึ่งถูกวิพากษ์วิจารณ์ว่าเป็นแนวทางที่ ‘เสี่ยง’ และไม่แนะนำ

นอกจากนี้ พบว่าคีย์ส่วนตัวของบัญชีผู้ลงนามถูกเปิดเผยในโค้ดฟรอนต์เอนด์ของคาร์เด็กซ์ ทำให้แฮ็กเกอร์สามารถใช้ช่องโหว่นี้เพื่อแทรกแซงธุรกรรมได้ แอ็บสแตรคต์ระบุว่า แฮ็กเกอร์ได้ค้นหาผู้ใช้ที่มี ‘เซสชันที่เปิดใช้งานอยู่’ และดำเนินการคำสั่ง `buyShares` หลายรายการ จากนั้น นำคีย์เซสชันที่ถูกขโมยมาโอนสินทรัพย์ไปยังบัญชีของตนเอง และขายมันเพื่อแลกเปลี่ยนอีเธอเรียม(ETH) บนระบบ ‘บอนดิ้งเคิร์ฟ’ ของคาร์เด็กซ์

โชคดีที่การโจมตีนี้ส่งผลกระทบเฉพาะอีเธอเรียม(ETH) ที่อยู่ในคาร์เด็กซ์ ส่วนโทเค็น ERC-20 และโทเค็น NFT ไม่ได้รับผลกระทบ

**มาตรการตอบสนองและแผนในอนาคต**

สถานการณ์ถูกตรวจพบครั้งแรกเมื่อวันที่ 18 กุมภาพันธ์ เวลา 06:07 น. (ตามเวลาฝั่งตะวันออกของสหรัฐฯ) เมื่อนักพัฒนาคนหนึ่งสังเกตเห็นการถอนเงินที่ผิดปกติจากกระเป๋าเงินบางบัญชี หลังจากนั้นภายใน 30 นาที คาร์เด็กซ์ก็ระบุได้ว่าต้นเหตุของปัญหามาจากอะไร

แอ็บสแตรคต์และทีมรักษาความปลอดภัยดำเนินการตอบสนองทันที ทั้งการปิดกั้นการเข้าถึงคาร์เด็กซ์ ยกเลิกการอนุมัติเซสชันที่มีอยู่ และอัปเกรดโค้ดเพื่อป้องกันความเสียหายเพิ่มเติม

เพื่อป้องกันเหตุการณ์ลักษณะเดียวกันในอนาคต แอ็บสแตรคต์ประกาศว่า จะเพิ่มมาตรการรักษาความปลอดภัยสำหรับทุกแอปพลิเคชันที่เปิดให้ใช้งานบนพอร์ทัล โดยจะเพิ่มการตรวจสอบโค้ดฟรอนต์เอนด์อย่างเข้มงวด เพื่อป้องกันการรั่วไหลของคีย์สำคัญ

นอกจากนี้ แอ็บสแตรคต์ยังมีแผนเสริมการควบคุมการใช้คีย์เซสชัน และนำเครื่องมือ ‘Blockaid’ มาใช้ในกระเป๋าเงิน Abstract Global Wallet (AGW) เพื่อให้ผู้ใช้ตรวจสอบและควบคุมสิทธิ์ของตนได้ง่ายขึ้น

ในอนาคต พวกเขาจะเปิดตัว ‘แดชบอร์ดคีย์เซสชัน’ ให้ผู้ใช้สามารถดูและจัดการเซสชันทั้งหมดของตนได้ในที่เดียว รวมถึงยกเลิกสิทธิ์ได้โดยง่าย ซึ่งเป็นส่วนหนึ่งของมาตรการป้องกันเพื่อให้แน่ใจว่าเหตุการณ์แบบนี้จะไม่เกิดขึ้นอีก

<ลิขสิทธิ์ ⓒ TokenPost ห้ามเผยแพร่หรือแจกจ่ายซ้ำโดยไม่ได้รับอนุญาต>

#แฮ็ก

บทความที่มีคนดูมากที่สุด