Ethereum Layer 2 платформы Abstract Reports Crypto Breach $ 400 тыс.

Платформа Ethereum Layer 2, Abstract, опубликовала первоначальный посмертный инцидент в области безопасности, который привел к компромиссу ETH на сумму около 400 000 долларов в 9 000 кошельков, взаимодействующих с Cardex, игрой на основе блокчейна в своей сети.

В отчете прояснилось, что нарушение связано с уязвимостями в коде кода Cardex, а не в проблеме с основной инфраструктурой абстрактной инфраструктуры или ключами сеанса.

Кошелек Cardex Компромисс

Инцидент вращался вокруг неправильного использования клавиш сессии, механизма в абстрактном глобальном кошельке (AGW), который позволяет временным, областям разрешения для улучшения пользовательского опыта.

В то время как клавиши сеансов сами являются хорошо обоснованной функцией безопасности, Cardex допустил критическую ошибку, используя общий кошелек Session Signer для всех пользователей, что не рекомендуется. Этот недостаток был дополнительно усилен путем воздействия закрытого ключа Session Signer на код Frontend Cardex, который в конечном итоге привел к эксплойту.

Согласно анализу основной причины абстрактной причины, злоумышленники определили открытую сессию от жертвы, инициировали транзакцию Buyshares от их имени, а затем использовали скомпрометированный сеанс -ключ для передачи акций себе, прежде чем продавать их на кривой связи Cardex для извлечения ETH Полем

Важно отметить, что был затронут только ETH, используемый в Cardex. Между тем, токены и NFT пользователей ERC-20 оставались безопасными из-за ограничений разрешений сеанса.

Временная шкала событий указывает на то, что первые признаки подозрительной деятельности были отмечены в 6:07 EST 18 февраля, когда разработчик разместил ссылку на транзакцию, показывающий адрес, предоставляющие средства. Менее чем за 30 минут Cardex подозревался в качестве источника эксплойта, и группы безопасности быстро мобилизовались для расследования.

Через несколько часов были предприняты шаги смягчения. Это включало блокирование доступа к Cardex, развертывание сайта отзыва сеанса, а также модернизацию затронутого контракта для предотвращения дальнейших транзакций.

Аннотация изложила несколько мер по предотвращению будущих инцидентов такого рода. В будущем все приложения, перечисленные на его портале, должны пройти более строгий обзор безопасности, включая аудиты кода переднего кода, чтобы предотвратить воздействие конфиденциальных ключей. Кроме того, использование ключей сеанса в перечисленных приложениях будет переоценено для обеспечения надлежащей области оценки и хранения. Документация по реализации ключа сеанса будет обновлена ​​для укрепления лучших практик.

Что впереди

В ответ на это нарушение, Abstract также интегрирует инструменты моделирования транзакций BlockAid в AGW, что поможет пользователям увидеть, какие разрешения они предоставляют при создании ключей сеанса. Дальнейшее сотрудничество с Tear и BlockAid вступает в силу для повышения безопасности ключей сеанса.

На портале также будет представлена ​​панель ключа сеанса, которая, как ожидается, даст пользователям централизованный интерфейс для просмотра и отозвания их открытых сеансов.