最も残念な出来事では、非常に有名なイーサリアムレイヤー2プラットフォーム、アブストラクトは、9,000以上の財布から約400,000ドル相当のETHの盗難を見た違反の残念な物語を語らざるを得ません。尊敬されるネットワーク上のいわゆる「ブロックチェーンベースのゲーム」であるCardexの。
アブストラクト独自のコアインフラストラクチャの失敗やその自慢のセッションキー検証契約の失敗により、むしろCardexのフロントエンドコードを公開するためのCardexの最も賢明でない決定により、違反は恐れていたかもしれません。脆弱性。不快なことにしか不思議に思うことができません!
Cardexウォレットの不幸
この嘆かわしい事件は、セッションキーの誤用にかかっていました。これは、ユーザーの経験を向上させるための一時的なスコープされた権限をユーザーに提供するように設計された抽象的なグローバルウォレット(AGW)の特徴ですが、この例では苦痛以外に何もつながっていません。
セッションキーは、それ自体が十分に精査されているセキュリティ機能であり、Cardexはその知恵で、すべてのユーザーに共有セッション署名者のウォレットを採用することを選択しました。 。セッション署名者のフロントエンドコードへの秘密の鍵の露出は、このかなり悪化したケーキの上のチェリーであり、そのような騒動を引き起こしたエクスプロイトにつながると言うかもしれません。
要約のその後の調査により、問題の悪党がオープンセッションを特定し、貧しい被害者の代わりにブイシュエアのトランザクションを実行し、妥協したセッションキーを使用して、株式を販売する前に株式を自分に転送し、それによって抽出して抽出することが明らかになりました。オレンジからジュースを絞ることができるように。
ただし、Cardex内で使用されているETHのみが影響を受けたことに注意するのは少し快適ですが、ユーザーのERC-20トークンとNFTは、セッションキーアクセス許可の制限のおかげで、これまでと同じように安全なままでした。
一連のイベントは、2月18日の午前6時7分ESTの不敬ly時間に始まりました。開発者は間違いなく睡眠不足から目を引いていたため、住所が渇きの熱意を持って資金を使い果たしていることを示す取引リンクを投稿しました。キャメル。 30分以内に、Cardexは疑いがあり、セキュリティチームは、ひよこが迷った母親の鶏のすべての緊急性で行動を起こしました。
その後、災害を軽減するために迅速な措置が講じられました。 Cardexへのアクセスがブロックされ、セッションの取り消しサイトが展開され、影響を受けた契約がアップグレードされ、さらなるトランザクションが防止されました。
要約は、これまでの責任者であり、そのような事件が再発するのを防ぐためのいくつかのステップを概説しました。今後、ポータルにリストされているすべてのアプリケーションは、機密キーの露出を防ぐためのフロントエンドコード監査を含む、より厳しいセキュリティレビューを受ける必要があります。さらに、リストされたアプリ全体でセッションキーの使用が再評価され、適切なスコーピングとストレージの慣行が確保されます。セッションキーの実装に関するドキュメントは更新されます。間違いなく、すべての人にPSとQSを思い起こさせるように注意してください。
先の道
この違反に応じて、AbstractはBlockAidのトランザクションシミュレーションツールをAGWに統合しています。これは、セッションキーを作成する際に許可する権限に関してユーザーに啓発することです。 PrivyおよびBlockAidとのコラボレーションも進行中であり、セッションキーセキュリティの改善を目的としています。セッションキーダッシュボードもポータルに導入されます。これは、ユーザーがオープンセッションをレビューおよび取り消すための集中インターフェイスを提供することが期待されています。
- TRUMP 予想・見通し・の予想. TRUMP 暗号通貨
- CNY JPY 予想・見通し・の予想
- JPY KRW 予想・見通し・の予想
- BTC JPY 予想・見通し・の予想. BTC 暗号通貨
- 2025 年に参加すべき仮想通貨イベント ベスト 30
- USD JPY 予想・見通し・の予想
- クリスティン・マクギネスが旅行代理店の驚くべきプロモーションでトップレスを披露
- クリスティーナ・ハークと新彼氏が元夫と妻との限定ノブランチで輝く!
- Rory Feek Breaks Silence: Not Hopie’s Bio Dad After DNA Reveal!
- セレーナ・ゴメス、ベニー・ブランコと婚約後、新曲を予告?
2025-02-20 01:56