ในเหตุการณ์ที่น่าเศร้าที่สุดแพลตฟอร์ม Ethereum Layer 2 ที่มีชื่อว่าเป็นนามธรรมได้รับการบังคับให้เล่าเรื่องที่น่าเสียใจของการละเมิดที่ได้เห็นการขโมย ETH มูลค่าประมาณ $ 400,000 จากกระเป๋าเงินไม่น้อยกว่า 9,000 กระเป๋า ของ Cardex ซึ่งเป็นเกมที่เรียกว่า ‘blockchain-based’ บนเครือข่ายที่ได้รับความนิยม
ดูเหมือนว่าการฝ่าฝืนไม่ได้เป็นอย่างที่อาจกลัวเนื่องจากความล้มเหลวในโครงสร้างพื้นฐานหลักของนามธรรมของตัวเองหรือสัญญาการตรวจสอบคีย์เซสชันที่ถูกโอ้อวด แต่จากการตัดสินใจที่ไม่ฉลาดที่สุดในส่วนของ Cardex เพื่อเปิดเผยรหัสส่วนหน้า ช่องโหว่ ใคร ๆ ก็สงสัยได้อย่างไม่รอบคอบ!
ความโชคร้ายของกระเป๋าเงิน Cardex
เหตุการณ์ที่น่าเศร้านี้ขึ้นอยู่กับการใช้คีย์เซสชั่นในทางที่ผิด – คุณลักษณะของกระเป๋าเงินนามธรรมระดับโลก (AGW) ที่ออกแบบมาเพื่อให้ผู้ใช้ชั่วคราวอนุญาตให้ใช้งานได้ชั่วคราวซึ่งมีจุดประสงค์เพื่อปรับปรุงประสบการณ์ของพวกเขา แต่ในกรณีนี้ได้นำไปสู่ความทุกข์
ในขณะที่คีย์เซสชั่นอยู่ในตัวเองคุณลักษณะด้านความปลอดภัยที่ได้รับการตรวจสอบอย่างดี Cardex ในภูมิปัญญาของมันเลือกที่จะใช้กระเป๋าเงิน Session Signer ที่ใช้ร่วมกันสำหรับผู้ใช้ทุกคน – การปฏิบัติที่แม้แต่ผู้ที่มีความรู้น้อยที่สุดก็ยังได้รับคำแนะนำ . การเปิดรับคีย์ส่วนตัวของผู้ลงนามเซสชันไปยังรหัสส่วนหน้าคือหนึ่งอาจกล่าวได้ว่าเชอร์รี่อยู่บนยอดเค้กที่ค่อนข้างไม่ดีซึ่งนำไปสู่การหาประโยชน์ที่ทำให้เกิดความปั่นป่วน
การสอบสวนที่ตามมาของ Abstract เปิดเผยว่าผู้กระทำผิดที่เป็นปัญหาจะระบุเซสชันที่เปิดดำเนินการทำธุรกรรม buyshares ในสถานะของเหยื่อผู้น่าสงสารจากนั้นใช้คีย์เซสชันที่ถูกบุกรุก ETH เป็นหนึ่งอาจบีบน้ำผลไม้จากสีส้ม
อย่างไรก็ตามมันเป็นความสะดวกสบายเล็กน้อยที่จะทราบว่ามีเพียง ETH ที่ใช้ภายใน Cardex ได้รับผลกระทบดังนั้นในขณะที่โทเค็น ERC-20 ของผู้ใช้และ NFTs ยังคงปลอดภัยเช่นเคยขอบคุณข้อ จำกัด ของการอนุญาตคีย์เซสชัน
ลำดับของเหตุการณ์เริ่มขึ้นในชั่วโมงที่ไม่ดีของเวลา 6:07 น. EST ในวันที่ 18 กุมภาพันธ์เมื่อนักพัฒนาไม่ต้องสงสัยเลยว่าไม่ต้องสงสัยเลยจากการนอนไม่หลับ อูฐ. ภายในครึ่งชั่วโมง Cardex อยู่ภายใต้ความสงสัยและทีมรักษาความปลอดภัยก็ผุดขึ้นสู่การปฏิบัติด้วยความเร่งด่วนของแม่ไก่ที่ลูกเจี๊ยบหลงทาง
จากนั้นมีการวัดมาตรการที่รวดเร็วเพื่อบรรเทาภัยพิบัติ การเข้าถึง Cardex ถูกบล็อกไซต์การเพิกถอนเซสชันถูกปรับใช้และสัญญาที่ได้รับผลกระทบได้รับการอัพเกรดเพื่อป้องกันการทำธุรกรรมเพิ่มเติม – การกระทำที่เราสามารถหวังได้เท่านั้นที่จะทำหน้าที่เป็นบทเรียนสำหรับผู้อื่นในอนาคต
บทคัดย่อผู้รับผิดชอบได้ระบุหลายขั้นตอนเพื่อป้องกันเหตุการณ์ดังกล่าวจากการเกิดซ้ำ ต่อจากนี้ไปแอปพลิเคชันทั้งหมดที่ระบุไว้ในพอร์ทัลจะต้องได้รับการตรวจสอบความปลอดภัยที่เข้มงวดรวมถึงการตรวจสอบรหัสส่วนหน้าเพื่อป้องกันการเปิดรับคีย์ที่ละเอียดอ่อน นอกจากนี้การใช้คีย์เซสชันในแอพที่ระบุไว้จะถูกประเมินใหม่เพื่อให้แน่ใจว่าการกำหนดขอบเขตและการจัดเก็บที่เหมาะสม เอกสารเกี่ยวกับการใช้งานคีย์เซสชันจะได้รับการอัปเดตไม่ต้องสงสัยเลยว่ามีการเตือนอย่างเข้มงวดกับทุกคนที่จะคำนึงถึง PS และ QS ของพวกเขา
ถนนข้างหน้า
ในการตอบสนองต่อการฝ่าฝืนนี้บทคัดย่อกำลังรวมเครื่องมือจำลองการทำธุรกรรมของ Blockaid เข้ากับ AGW ซึ่งจะเป็นความหวังหนึ่งคนที่ให้ความกระจ่างแก่ผู้ใช้เกี่ยวกับการอนุญาตที่พวกเขาได้รับเมื่อสร้างคีย์เซสชัน ความร่วมมือกับ Privy และ Blockaid ก็กำลังดำเนินไปโดยมีวัตถุประสงค์เพื่อปรับปรุงการรักษาความปลอดภัยที่สำคัญของเซสชัน แผงควบคุมคีย์เซสชันจะได้รับการแนะนำในพอร์ทัลซึ่งคาดว่าจะให้อินเทอร์เฟซส่วนกลางแก่ผู้ใช้เพื่อตรวจสอบและเพิกถอนเซสชันเปิดของพวกเขาซึ่งเป็นนวัตกรรมที่ยินดีต้อนรับมากที่สุด!
- The Great Market Meltdown: เรื่องราวของความฉิบหายและการเสียดสีที่มีไหวพริบ
- วิดีโอลึกลับเขย่าโลก Crypto ท่ามกลางราคา SHIB ที่ร่วงลง 20%
- Kraken & Satoshi: การจับคู่ที่ลงตัวในสกุลเงินดิจิทัล
- Simon Cowell Faces Hilarious Heckling Chaos at Britain’s Got Talent Auditions!
- ผู้ร่างกฎหมายสหรัฐฯ: อย่าปล่อยให้กฎระเบียบของ Stablecoin ติดอยู่ในโคลน!
- การเคลื่อนไหวที่กล้าหาญของ Fidelity: การปักหลักจะช่วยวันสำหรับนักลงทุน crypto หรือไม่?
- คุณจะไม่เชื่อเลยว่าเหล่าอาชญากรด้านคริปโตเหล่านี้ทำอะไรกับผู้ชายน่าสงสารคนนี้! 😱
- ตัวแทน AI: จากผลกำไรมหาศาลสู่ความล้มเหลวในตลาด 🤯
- 😱😱😱 หัวใจที่แตกสลายของโซลานา! มันจะร่วงลงมาเหลือ 138 เหรียญหรือเปล่า? 😱😱😱
- โชคลาภของ Coinbase: ได้รับการยอมรับ ไม่ใช่แค่ Altcoin เท่านั้น! 🚀💰
2025-02-20 01:56