eth Misadventure ETH $ 400K ของ Cardex: เรื่องราวของกุญแจที่หายไป!

ในเหตุการณ์ที่น่าเศร้าที่สุดแพลตฟอร์ม Ethereum Layer 2 ที่มีชื่อว่าเป็นนามธรรมได้รับการบังคับให้เล่าเรื่องที่น่าเสียใจของการละเมิดที่ได้เห็นการขโมย ETH มูลค่าประมาณ $ 400,000 จากกระเป๋าเงินไม่น้อยกว่า 9,000 กระเป๋า ของ Cardex ซึ่งเป็นเกมที่เรียกว่า ‘blockchain-based’ บนเครือข่ายที่ได้รับความนิยม

ดูเหมือนว่าการฝ่าฝืนไม่ได้เป็นอย่างที่อาจกลัวเนื่องจากความล้มเหลวในโครงสร้างพื้นฐานหลักของนามธรรมของตัวเองหรือสัญญาการตรวจสอบคีย์เซสชันที่ถูกโอ้อวด แต่จากการตัดสินใจที่ไม่ฉลาดที่สุดในส่วนของ Cardex เพื่อเปิดเผยรหัสส่วนหน้า ช่องโหว่ ใคร ๆ ก็สงสัยได้อย่างไม่รอบคอบ!

ความโชคร้ายของกระเป๋าเงิน Cardex

เหตุการณ์ที่น่าเศร้านี้ขึ้นอยู่กับการใช้คีย์เซสชั่นในทางที่ผิด – คุณลักษณะของกระเป๋าเงินนามธรรมระดับโลก (AGW) ที่ออกแบบมาเพื่อให้ผู้ใช้ชั่วคราวอนุญาตให้ใช้งานได้ชั่วคราวซึ่งมีจุดประสงค์เพื่อปรับปรุงประสบการณ์ของพวกเขา แต่ในกรณีนี้ได้นำไปสู่ความทุกข์

ในขณะที่คีย์เซสชั่นอยู่ในตัวเองคุณลักษณะด้านความปลอดภัยที่ได้รับการตรวจสอบอย่างดี Cardex ในภูมิปัญญาของมันเลือกที่จะใช้กระเป๋าเงิน Session Signer ที่ใช้ร่วมกันสำหรับผู้ใช้ทุกคน – การปฏิบัติที่แม้แต่ผู้ที่มีความรู้น้อยที่สุดก็ยังได้รับคำแนะนำ . การเปิดรับคีย์ส่วนตัวของผู้ลงนามเซสชันไปยังรหัสส่วนหน้าคือหนึ่งอาจกล่าวได้ว่าเชอร์รี่อยู่บนยอดเค้กที่ค่อนข้างไม่ดีซึ่งนำไปสู่การหาประโยชน์ที่ทำให้เกิดความปั่นป่วน

การสอบสวนที่ตามมาของ Abstract เปิดเผยว่าผู้กระทำผิดที่เป็นปัญหาจะระบุเซสชันที่เปิดดำเนินการทำธุรกรรม buyshares ในสถานะของเหยื่อผู้น่าสงสารจากนั้นใช้คีย์เซสชันที่ถูกบุกรุก ETH เป็นหนึ่งอาจบีบน้ำผลไม้จากสีส้ม

อย่างไรก็ตามมันเป็นความสะดวกสบายเล็กน้อยที่จะทราบว่ามีเพียง ETH ที่ใช้ภายใน Cardex ได้รับผลกระทบดังนั้นในขณะที่โทเค็น ERC-20 ของผู้ใช้และ NFTs ยังคงปลอดภัยเช่นเคยขอบคุณข้อ จำกัด ของการอนุญาตคีย์เซสชัน

ลำดับของเหตุการณ์เริ่มขึ้นในชั่วโมงที่ไม่ดีของเวลา 6:07 น. EST ในวันที่ 18 กุมภาพันธ์เมื่อนักพัฒนาไม่ต้องสงสัยเลยว่าไม่ต้องสงสัยเลยจากการนอนไม่หลับ อูฐ. ภายในครึ่งชั่วโมง Cardex อยู่ภายใต้ความสงสัยและทีมรักษาความปลอดภัยก็ผุดขึ้นสู่การปฏิบัติด้วยความเร่งด่วนของแม่ไก่ที่ลูกเจี๊ยบหลงทาง

จากนั้นมีการวัดมาตรการที่รวดเร็วเพื่อบรรเทาภัยพิบัติ การเข้าถึง Cardex ถูกบล็อกไซต์การเพิกถอนเซสชันถูกปรับใช้และสัญญาที่ได้รับผลกระทบได้รับการอัพเกรดเพื่อป้องกันการทำธุรกรรมเพิ่มเติม – การกระทำที่เราสามารถหวังได้เท่านั้นที่จะทำหน้าที่เป็นบทเรียนสำหรับผู้อื่นในอนาคต

บทคัดย่อผู้รับผิดชอบได้ระบุหลายขั้นตอนเพื่อป้องกันเหตุการณ์ดังกล่าวจากการเกิดซ้ำ ต่อจากนี้ไปแอปพลิเคชันทั้งหมดที่ระบุไว้ในพอร์ทัลจะต้องได้รับการตรวจสอบความปลอดภัยที่เข้มงวดรวมถึงการตรวจสอบรหัสส่วนหน้าเพื่อป้องกันการเปิดรับคีย์ที่ละเอียดอ่อน นอกจากนี้การใช้คีย์เซสชันในแอพที่ระบุไว้จะถูกประเมินใหม่เพื่อให้แน่ใจว่าการกำหนดขอบเขตและการจัดเก็บที่เหมาะสม เอกสารเกี่ยวกับการใช้งานคีย์เซสชันจะได้รับการอัปเดตไม่ต้องสงสัยเลยว่ามีการเตือนอย่างเข้มงวดกับทุกคนที่จะคำนึงถึง PS และ QS ของพวกเขา

ถนนข้างหน้า

ในการตอบสนองต่อการฝ่าฝืนนี้บทคัดย่อกำลังรวมเครื่องมือจำลองการทำธุรกรรมของ Blockaid เข้ากับ AGW ซึ่งจะเป็นความหวังหนึ่งคนที่ให้ความกระจ่างแก่ผู้ใช้เกี่ยวกับการอนุญาตที่พวกเขาได้รับเมื่อสร้างคีย์เซสชัน ความร่วมมือกับ Privy และ Blockaid ก็กำลังดำเนินไปโดยมีวัตถุประสงค์เพื่อปรับปรุงการรักษาความปลอดภัยที่สำคัญของเซสชัน แผงควบคุมคีย์เซสชันจะได้รับการแนะนำในพอร์ทัลซึ่งคาดว่าจะให้อินเทอร์เฟซส่วนกลางแก่ผู้ใช้เพื่อตรวจสอบและเพิกถอนเซสชันเปิดของพวกเขาซึ่งเป็นนวัตกรรมที่ยินดีต้อนรับมากที่สุด!

2025-02-20 01:56