Pháp Lý

9.000 ví liên kết với game blockchain Cardex bị thiệt hại $400.000 trong sự cố bảo mật nghiêm trọng

Th2 19, 2025


Abstract, một blockchain Layer 2, gần đây đã công bố báo cáo sơ bộ về một sự cố bảo mật nghiêm trọng ảnh hưởng đến hàng nghìn ví liên kết với Cardex, một game blockchain hoạt động trên mạng. Sự cố này đã được phát hiện vào thứ Ba và được mô tả là một vụ “session key hack – hack khóa phiên”*, trong đó kẻ tấn công đã xâm nhập vào các ví đã tương tác với Cardex và thực hiện giao dịch rút tiền trái phép.

Theo báo cáo từ người đóng góp ẩn danh, Cygaar, lỗ hổng bảo mật này liên quan đến việc ví người ký phiên bị xâm phạm và được chia sẻ giữa tất cả người dùng Cardex thông qua một khóa bị rò rỉ trong mã giao diện người dùng của Cardex. Lỗ hổng này cho phép kẻ tấn công truy cập vào các ví và thực hiện các giao dịch không được ủy quyền.

Theo thông tin từ Abstract, sự cố bảo mật này đã khiến người dùng mất một khoản tiền lớn lên tới 400.000 đô la, ảnh hưởng đến khoảng 9.000 ví. Điều này có nghĩa là kẻ tấn công có thể thực hiện các giao dịch thay mặt người dùng, bao gồm việc chuyển nhượng và bán cổ phiếu để chiếm đoạt Ethereum (ETH). Tuy nhiên, vụ exploit này không ảnh hưởng đến các token ERC20 hoặc NFT của người dùng, điều này phần nào giảm bớt thiệt hại đối với các tài sản kỹ thuật số khác.

Bản báo cáo sau sự cố cũng làm rõ rằng sự cố này không phải là một vấn đề phổ biến liên quan đến Abstract Global Wallet (AGW) hay mạng cốt lõi của Abstract, mà là một sự cố riêng biệt do Cardex xử lý sai thông tin xác thực ví quan trọng, đặc biệt là khóa phiên. AGW sử dụng khóa phiên để cho phép các ứng dụng tạo ra các phiên giới hạn, có phạm vi, nhằm cải thiện trải nghiệm người dùng. Các khóa này cho phép quyền truy cập vào các chức năng ví cụ thể cho bên thứ ba và cần được quản lý cẩn thận để ngăn ngừa việc cấp quyền cho các thực thể độc hại.

Cuộc tấn công đã khai thác lỗ hổng trong cách Cardex quản lý khóa phiên, cấp quyền truy cập tạm thời vào các chức năng ví của người dùng, dẫn đến việc kẻ tấn công có thể thực hiện các giao dịch không mong muốn. Trước sự cố này, nhóm Abstract đã đưa ra khuyến cáo ngay lập tức đến người dùng, yêu cầu họ ngừng tương tác với Cardex và thu hồi tất cả các phiên đang hoạt động với ứng dụng này để giảm thiểu rủi ro.

Ngoài ra, Abstract cũng yêu cầu tất cả các dự án sử dụng khóa phiên trong cổng thông tin Abstract phải trải qua một quy trình kiểm toán nghiêm ngặt để đảm bảo an toàn và bảo mật cho người dùng trong tương lai.

Abstract là một mạng Layer 2 được phát triển bởi Igloo Inc., công ty mẹ đứng sau Pudgy Penguins, với mục tiêu tạo ra những giải pháp blockchain hiệu quả, an toàn và thân thiện với người tiêu dùng.

*Session key hack (tấn công khóa phiên) là một hình thức tấn công mạng mà hacker lợi dụng lỗ hổng bảo mật để chiếm đoạt hoặc giả mạo khóa phiên (session key) của người dùng, từ đó có thể truy cập và điều khiển các tài khoản hoặc phiên làm việc mà không cần phải xác thực lại.

Một session key là một khóa mã hóa tạm thời được tạo ra trong quá trình thiết lập kết nối bảo mật giữa người dùng và máy chủ (chẳng hạn như trong các giao dịch trực tuyến hoặc trong môi trường web). Khi hacker chiếm đoạt được session key, họ có thể “lừa” hệ thống và tiếp tục phiên làm việc của người dùng, khiến người dùng không nhận ra rằng tài khoản của họ đã bị xâm nhập.

Disclaimer: Bài viết chỉ có mục đích thông tin, không phải lời khuyên đầu tư. Nhà đầu tư nên tìm hiểu kỹ trước khi ra quyết định. Chúng tôi không chịu trách nhiệm về các quyết định đầu tư của bạn. 

 

 

 

Youtube: https://www.youtube.com/@tapchibitcoinvn

Lilly

@media only screen and (min-width: 0px) and (min-height: 0px) {
div[id^=”wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb”] {
width:320px;
height: 100px;
}
}
@media only screen and (min-width: 728px) and (min-height: 0px) {
div[id^=”wrapper-sevio-d89f58f5-7b63-40be-98c0-6b1fd62584fb”] {
width: 728px;
height: 90px;
}
}

<!–

window.sevioads = window.sevioads || [];
var sevioads_preferences = [];
sevioads_preferences[0] = {};
sevioads_preferences[0].zone = “9396f898-bdeb-47ae-a501-d2e9ad9db5c0”;
sevioads_preferences[0].adType = “banner”;
sevioads_preferences[0].inventoryId = “48cae512-e336-48e2-920f-7af5bf18bbed”;
sevioads_preferences[0].accountId = “166b5560-c41a-4e72-814a-0a37409a0806”;
sevioads.push(sevioads_preferences);

window.sevioads = window.sevioads || [];
var sevioads_preferences = [];
sevioads_preferences[0] = {};
sevioads_preferences[0].zone = “9d2f13cb-6193-4689-a858-211e53c79360”;
sevioads_preferences[0].adType = “banner”;
sevioads_preferences[0].inventoryId = “48cae512-e336-48e2-920f-7af5bf18bbed”;
sevioads_preferences[0].accountId = “166b5560-c41a-4e72-814a-0a37409a0806”;
sevioads.push(sevioads_preferences);

–>

By Phạm Mạnh Cường

Phạm Mạnh Cường là một doanh nhân và nhà đầu tư Tiền mã hoá. Tác giả đã từng tiên phong giảng dạy Blockchain ở Trường Đại học Kinh tế - Luật, Đại học Quốc gia Hồ Chí Minh. Hiện tại đang là Giám đốc công ty Wischain và Giảng viên công nghệ Blockchain tại Đại học Hutech, Đại học Tài chính-Marketing và nhiều trường ĐH tại Việt Nam. Tác giả đã có bằng Thạc sĩ Khoa học máy tính từ năm 2011 tại Đại học Bách Khoa Hồ Chí Minh. Tính đến nay tác giả đã có kinh nghiệm 7 năm giảng dạy cho sinh viên về công nghệ Blockchain và hơn 9 năm đầu tư trong lĩnh vực Tiền mã hoá từ 2016. Tác giả đã tham gia diễn giả tại hàng trăm hội thảo chất lượng và hiện sở hữu hàng nghìn bài viết tổng hợp, nhận định và chỉnh sửa về Tiền mã hoá và Tiền điện tử chất lượng trên Website và ở nhiều kênh khác.

Related Post

Pháp Lý

Trung Quốc siết chặt crypto, lần đầu cấm hoàn toàn token hóa (RWA)

Th12 8, 2025 Phạm Mạnh Cường
Pháp Lý

ZachXBT: Hacker người Anh trộm 243 triệu USD từ ví Gemini bị thu giữ tài sản

Th12 6, 2025 Phạm Mạnh Cường
Pháp Lý

Hacker Triều Tiên bị bắt quả tang khi giả danh ứng viên crypto tại Mỹ

Th12 5, 2025 Phạm Mạnh Cường

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *