أصدرت منصة Ethereum Layer 2 ، Abstract ، ما بعد الوفاة الأولية في حادثة أمنية أدت إلى حل وسط بقيمة 400000 دولار من ETH عبر 9000 محفظة تتفاعل مع Cardex ، وهي لعبة قائمة على blockchain على شبكتها.
أوضح التقرير أن الانتهاك ينبع من نقاط الضعف في رمز الواجهة الأمامية لكاردكس بدلاً من مشكلة مع عقود التحقق من صحة المفتاح الأساسية في الملخص.
تسوية محفظة Cardex
تدور الحادث حول سوء استخدام مفاتيح الجلسة ، وهي آلية في المحفظة العالمية المجردة (AGW) التي تسمح بأذونات مؤقتة ومختصرة لتحسين تجربة المستخدم.
على الرغم من أن مفاتيح الجلسة نفسها هي ميزة أمان مدعومة جيدًا ، فقد ارتكب Cardex خطأً حاسماً باستخدام محفظة Signer Signer المشتركة لجميع المستخدمين ، وهي ممارسة لا ينصح بها. تم تضخيم هذا العيب بشكل أكبر من خلال تعرض المفتاح الخاص للجلسة إلى رمز الواجهة الأمامية لكاردكس ، مما أدى في النهاية إلى الاستغلال.
وفقًا لتحليل السبب الجذري لـ Abstract ، حدد المهاجمون جلسة مفتوحة من الضحية ، وبدأوا في معاملة BuyShares نيابة عنهم ، ثم استخدموا مفتاح الجلسة المعرضة للخطر لنقل الأسهم إلى أنفسهم قبل بيعها على منحنى ربط Cardex لاستخراج ETH.
الأهم من ذلك ، تأثرت فقط ETH المستخدمة داخل Cardex. وفي الوقت نفسه ، ظلت الرموز و NFTs للمستخدمين للمستخدمين آمنة بسبب قيود أذونات مفتاح الجلسة.
يشير الجدول الزمني للأحداث إلى أن العلامات الأولى للنشاط المشبوه تم وضع علامة عليها في الساعة 6:07 صباحًا بتوقيت شرق الولايات المتحدة في 18 فبراير عندما نشر مطور رابط معاملة يوضح صناديق استنزاف العنوان. في أقل من 30 دقيقة ، تم الاشتباه في Cardex كمصدر للاستغلال ، وسرعان ما تعبأت فرق الأمن للتحقيق.
في غضون ساعات ، تم اتخاذ خطوات التخفيف. وشمل ذلك منع الوصول إلى Cardex ، ونشر موقع إلغاء الجلسة ، بالإضافة إلى ترقية العقد المتأثر لمنع المزيد من المعاملات.
أوجز الخلاصة العديد من التدابير لمنع الحوادث المستقبلية من هذا النوع. للمضي قدمًا ، يجب أن تخضع جميع التطبيقات المدرجة في بوابةها لمراجعة أمنية أكثر صرامة ، بما في ذلك عمليات تدقيق التعليمات البرمجية الأمامية لمنع التعرض للمفاتيح الحساسة. بالإضافة إلى ذلك ، سيتم إعادة تقييم استخدام مفتاح الجلسة عبر التطبيقات المدرجة لضمان ممارسات النطاق والتخزين المناسبة. سيتم تحديث الوثائق حول تنفيذ مفتاح الجلسة لتعزيز أفضل الممارسات.
ما الذي ينتظرنا
استجابة لهذا الانتهاك ، يقوم الملخص أيضًا بدمج أدوات محاكاة معاملات Blockaid في AGW ، مما سيساعد المستخدمين على معرفة الأذونات التي يمنحونها عند إنشاء مفاتيح الجلسة. تجري مزيد من التعاون مع الملكية واللوكويد لتحسين الأمان الرئيسي للجلسة.
سيتم أيضًا تقديم لوحة معلومات مفتاح الجلسة في البوابة ، والتي من المتوقع أن تمنح المستخدمين واجهة مركزية لمراجعة وإلغاء جلساتهم المفتوحة.
Binance Free $ 600 (Cryptopotato Exclusive): استخدم هذا الرابط لتسجيل حساب جديد واحصل على عرض ترحيب حصري بقيمة 600 دولار على Binance (التفاصيل الكاملة).
عرض محدود لقراء Cryptopotato في Bybit: استخدم هذا الرابط لتسجيل وفتح موقعًا مجانيًا بقيمة 500 دولار على أي عملة معدنية!
(tagstotranslate) الاختراقات
