Difficile de faire abstraction. La blockchain Abstract a récemment été secouée par un hack majeur touchant l’application Cardex. L’attaque, qualifiée de « hack de clé de session », a permis à un acteur malveillant d’accéder à des milliers de portefeuilles ayant interagi avec ce projet de cartes à collectionner. Résultat : près de 400 000 $ siphonnés. Retour sur ce coup dur pour l’écosystème Abstract.
- La blockchain Abstract a été secouée par un hack majeur ayant touché l’application Cardex.
- Une faille dans la gestion des clés de session de Cardex a permis à l’attaquant de compromettre environ 9 000 portefeuilles.
Une faille de sécurité isolée
En ce début de semaine, l’écosystème de la blockchain Abstract a subi un hack d’envergure. Et ce n’est finalement pas le bilan comptable de 400 000 $ qui s’impose comme la conséquence la plus problématique.
En effet, le rapport post mortem publié par Abstract indique que cette attaque a été rendu possible par une faille dans la gestion des clés de session du projet Cardex. C’est-dire la fonctionnalité qui permet aux applications d’accéder temporairement à certaines fonctions des portefeuilles.
L’occasion pour le réseau Abstract de clarifier les choses. Car cela ne concerne en rien la sécurité de sa blockchain.
« Il ne s’agissait pas d’une vulnérabilité dans Abstract Global Wallet (AGW) ou dans le réseau Abstract lui-même, mais d’une faille de sécurité isolée d’une application tierce (Cardex). »
Un impact massif sur la communauté Abstract
Concrètement, « l’équipe Cardex a exposé par inadvertance la clé privée de son signataire de session sur le front-end de son site Web ». Un erreur tragique qui a permis à un attaquant d’initier des transactions sur les contrats Cardex pour tout portefeuille ayant approuvé une clé de session avec eux.
Une opération dramatique pour l’écosystème Abstract, puisque cela a permis au hacker de compromettre environ 9 000 portefeuilles. C’est la raison pour laquelle ses développeurs ont appelé les utilisateurs à la prudence. Cela en leur conseillant de ne plus interagir avec Cardex et de révoquer toute session active avec l’application.
Ce hack met en lumière l’importance cruciale de la gestion sécurisée des clés de session dans les applications décentralisées. Une leçon que la blockchain Abstract – développée par la société derrière le projet de NFT Pudgy Penguins – devrait retenir. Car la sécurité doit rester une priorité absolue pour protéger les utilisateurs et leurs cryptomonnaies.
