In einem äußerst bedauerlichen Ereignis wurde die vielbewegte Ethereum Layer-2-Plattform, Abstract, gezwungen, die traurige Geschichte eines Verstoßes zu erzählen, bei dem ETH von mindestens 9.000 Brieftaschen im Wert von mindestens 9.000 Geldbörsen entstanden ist, alle im Namen von Cardex, einem sogenannten „Blockchain-basierten Spiel“ in seinem geschätzten Netzwerk.
Finger weg von langweiligen Regierungsdebatten! 😴 Hier gibt's nur heiße Krypto-News und Sarkasmus! 💥😎
👉Bereit für den Spaß? Klick auf "Beitreten"! 📲
Es scheint, dass der Verstoß aufgrund eines Versagens in Abstracts eigener Kerninfrastruktur oder seiner gepriesenen Sitzungs -Validierungsverträge nicht, wie man befürchtet hätte, nicht war, sondern von einer äußerst unklug Schwachstellen. Man kann sich nur über die Unvorsorge wundern!
Das Unglück der CARDEX -Geldbörsen
Dieser beklagte Vorfall hob den Missbrauch von Sitzungsschlüssel ab – ein Merkmal der abstrakten Global Wallet (AGW), die den Benutzern vorübergehende, skopierte Berechtigungen ermöglicht, um ihre Erfahrungen zu verbessern, die in diesem Fall jedoch zu nichts als Belastung geführt hat.
Denn während Sitzungsschlüssel an sich eine Sicherheitsfunktion, die in seiner Weisheit gut geprüft wurde, entschied . Die Exposition des privaten Schlüssels von Session Signer gegenüber dem Frontend-Code war, wie man sagen könnte, die Kirsche auf diesem ziemlich schlecht gebackenen Kuchen, was zu dem Exploit führte, der zu einem solchen Aufsehen geführt hat.
Die nachfolgenden Untersuchungen von Abstract ergaben, dass die fraglichen Missetäter eine offene Sitzung identifizieren, eine Buyshares -Transaktion an der Stelle des armen Opfers durchführen und dann den kompromittierten Sitzungsschlüssel verwenden, um die Aktien an sich selbst zu übertragen, bevor sie sie an der CARDEX -Bonding -Kurve verkaufen, dadurch extrahieren Eth, wie man Saft aus einer Orange drücken kann.
Es ist jedoch ein kleiner Komfort zu beachten, dass nur die in Codex verwendete ETH betroffen war, während die ERC-20-Token und NFTs der Benutzer aufgrund der Beschränkungen der Sitzungsberechtigungen so sicher wie nie zuvor blieben.
Die Abfolge der Ereignisse begann am 18. Februar in der gottlosen Stunde von 6:07 Uhr EST, als ein Entwickler, der zweifellos trostlos aus dem Schlaf war Kamel. Innerhalb einer halben Stunde war Cardex im Verdacht, und die Sicherheitsteams traten mit der Dringlichkeit einer Mutterhenne in Aktion, deren Küken verirren.
Anschließend wurden schnelle Maßnahmen ergriffen, um die Katastrophe zu mildern. Der Zugang zu Cardex wurde blockiert, eine Sitzungsstätte für Sitzungen wurde eingesetzt und der betroffene Vertrag wurde verbessert, um weitere Transaktionen zu verhindern – die Aktionen, von denen man hoffen kann, dass sie nur in Zukunft als Lektion für andere dienen.
Abstract, immer die verantwortliche Partei, hat mehrere Schritte dargelegt, um zu verhindern, dass ein solcher Vorfall wiederholt wird. Von nun an müssen alle in seinem Portal aufgeführten Anwendungen einer strengeren Sicherheitsüberprüfung unterzogen werden, einschließlich Front-End-Code-Audits, um die Exposition sensibler Schlüssel zu verhindern. Darüber hinaus wird die Nutzung von Sitzungsschlüssel für aufgelistete Apps neu bewertet, um ordnungsgemäße Scoping- und Speicherpraktiken zu gewährleisten. Die Dokumentation der Sitzung der Sitzungschlüsselimplementierung wird aktualisiert, ohne Zweifel mit einer strengen Erinnerung an alle und QS.
Die Straße voraus
Als Reaktion auf diesen Verstoß integriert Abstract die Transaktionssimulationstools von Blockaid in AGW, was die Benutzer in Bezug auf die Berechtigungen, die sie beim Erstellen von Sitzungsschlüssel erstellen, aufklären. Zusammenarbeit mit Privy und Blockaid sind ebenfalls im Gange, um die Sicherheit der Sitzung zu verbessern. Ein Sitzungsschlüssel -Dashboard wird auch im Portal eingeführt, das den Benutzern eine zentrale Schnittstelle zur Verfügung stellen wird, um ihre offenen Sitzungen zu überprüfen und widerrufen – tatsächlich eine willkommene Innovation!
Weiterlesen
- DEGEN PROGNOSE. DEGEN Kryptowährung
- Die 20 besten Filme über amerikanische Präsidenten
- Das überraschende Ende des Konklaves hat eine tiefere Bedeutung
- Die 50 größten Kriegsfilme aller Zeiten
- NOT PROGNOSE. NOT Kryptowährung
- Sabrina Carpenter zieht sich nackt aus und nimmt ein Eisbad, während sie einen Blick hinter die Kulissen ihrer Short n‘ Sweet Tour gewährt
- Wickeds Cliffhanger-Ende erklärt (und was Sie im zweiten Teil erwartet)
- BNB PROGNOSE. BNB Kryptowährung
- Eminems Familienführer in Fotos: Lernen Sie seine Kinder, seine Ex-Frau und seine Mutter kennen
- ASTR PROGNOSE. ASTR Kryptowährung
2025-02-20 01:56