Abstract Chain上のdAppで資金が流出｜40万ドル相当の被害

Ethereumの新興レイヤー2ネットワーク「Abstract Chain」で、資金流出事件が発生しました。問題はAbstract Chain上で稼働するdApp「Cardex」のセキュリティ脆弱性にあり、約9,000のウォレットから合計40万ドル相当のETHが流出したと報告されています。

https://t.co/ZVyuBXyXoN

— cygaar (@0xCygaar) February 18, 2025

Abstractは2025年1月にメインネットをローンチした新しいEthereum L2ネットワークで、人気NFTプロジェクトPudgy Penguinsを開発するIgloo Inc.が手掛けています。

Abstractでは最近、複数のユーザーから不審な取引が報告されていました。昨日2月18日にAbstractの開発者は「一部のアカウントが侵害された」と発表しました。

今回狙われたCardexではセッションキーを用いた取引の代行機能が導入されていましたが、すべてのユーザーに共通のセッション署名者が使用されていたといいます。さらに、Cardexのフロントエンドコードにセッション署名者の秘密鍵が漏洩していたことが判明しており、攻撃者はこの脆弱性を突いたとしています。

Abstractは今後、セキュリティ監査の強化、セッションキー管理の改善、ユーザー向けダッシュボードの提供といった対策を講じる予定です。

まず、セキュリティ監査についてはAbstract上のすべてのアプリに対し、厳格なセキュリティ監査を義務付ける方針を導入。特に公式に推薦される「Spotlightアプリ」に関してはさらに高い基準を設けることで信頼性の向上を図るとしています。

セッションキー管理の改善に向けて、Abstractはセッション署名者の管理方法を見直し、安全な運用体制を確立する予定です。Abstract Global Walletにおいてユーザーが自身のセッションキーの権限をより明確に把握できる環境を整えるとしています。

また、ユーザーが自身のセッションキーを簡単に確認・管理・削除できるダッシュボードをポータル内に実装すると述べています。

今回の事件はメインネットローンチから日が浅い段階で発生したため、コミュニティの信頼に影響を与えています。特にAbstractが公式チャンネルでCardexを紹介していたことに批判が集まっています。

また、Abstract上には30以上のdAppが稼働しており、他のdAppにも同様のセッションキー管理の脆弱性があるのではとの懸念も高まっています。Abstractチームは、コアプロトコルの安全性を強調しつつセキュリティ基準の見直しを進めています。