Ethereum Katman 2 Platformu Soyut Raporları Cardeks olayında 400 bin $ kripto ihlali

Abstract, Ethereum Later 2 platformu, bir güvenlik olayında, ağında blockchain tabanlı bir oyun olan Cardex ile etkileşime giren yaklaşık 400.000 $ değerinde ETH’nin uzlaşmasına neden olan bir güvenlik sonrası post-mortem yayınladı.

Rapor, ihlalin, Abstract’un temel altyapısı veya oturum anahtarı doğrulama sözleşmeleri ile ilgili bir sorundan ziyade Cardex’in ön uç kodundaki güvenlik açıklarından kaynaklandığını açıkladı.

Cardeks Cüzdan Uzlaşma

Olay, soyut küresel cüzdanda (AGW), kullanıcı deneyimini iyileştirmek için geçici, kapsamlı izinlere izin veren bir mekanizma olan oturum anahtarlarının kötüye kullanılması etrafında döndü.

Oturum anahtarlarının kendileri iyi bir şekilde gözetilmiş bir güvenlik özelliği olsa da, Cardex, tüm kullanıcılar için paylaşılan bir oturum imzalayan cüzdan kullanarak kritik bir hata yaptı, bu da önerilmeyen bir uygulama. Bu kusur, oturum imzalayanın özel anahtarının Cardex’in ön uç koduna maruz kalmasıyla daha da güçlendirildi ve bu da sonuçta istismara yol açtı.

Abstract’in kök nedenine göre analizsaldırganlar bir kurbandan açık bir oturum belirlediler, onların adına bir Buyshares işlemi başlattı ve daha sonra tehlike altına alınan oturum anahtarını, ETH’yi çıkarmak için Cardex bağlanma eğrisinde satmadan önce hisseleri kendilerine aktarmak için kullandılar.

Önemli olarak, sadece Cardeks içinde kullanılan ETH etkilendi. Bu arada, kullanıcıların ERC-20 jetonları ve NFT’leri, oturum anahtarı izin sınırlamaları nedeniyle güvenli kaldı.

Olayların zaman çizelgesi, şüpheli faaliyetlerin ilk belirtilerinin 18 Şubat’ta bir geliştiricinin, bir adresi boşaltan bir işlem bağlantısı yayınladığı 18 Şubat’ta saat 6: 07’de işaretlendiğini göstermektedir. 30 dakikadan daha kısa bir sürede Cardeks’in istismarın kaynağı olarak şüpheleniliyor ve güvenlik ekipleri araştırmak için hızla harekete geçti.

Birkaç saat içinde hafifletme adımları atıldı. Bu, Cardex’e erişimi engellemeyi, bir oturum iptal sitesini dağıtmayı ve daha fazla işlemi önlemek için etkilenen sözleşmeyi yükseltmeyi de içeriyordu.

Özet, bu nitelikteki gelecekteki olayları önlemek için çeşitli önlemleri özetlemiştir. İleride, portalında listelenen tüm uygulamalar, hassas anahtarların maruz kalmasını önlemek için ön uç kod denetimleri de dahil olmak üzere daha sıkı bir güvenlik incelemesine tabi tutulmalıdır. Ayrıca, listelenen uygulamalar arasında oturum anahtarı kullanımı, uygun kapsam ve depolama uygulamalarını sağlamak için yeniden değerlendirilecektir. En iyi uygulamaları güçlendirmek için oturum anahtarı uygulamasına ilişkin belgeler güncellenecektir.

Önde ne var

Bu ihlale yanıt olarak, Özet, BlockAid’in işlem simülasyon araçlarını AGW’ye entegre ediyor, bu da kullanıcıların oturum anahtarları oluştururken hangi izinleri verdiklerini görmelerine yardımcı olacak. Oturum anahtarı güvenliğini artırmak için Privy ve BlockAid ile daha fazla işbirliği devam etmektedir.

Portalda, kullanıcılara açık oturumlarını gözden geçirmeleri ve iptal etmeleri için merkezi bir arayüz vermesi beklenen bir oturum anahtar panosu da tanıtılacaktır.