💰 Присоединяйтесь к нашему крипто-сообществу на Telegram-канале Новости Сегодня! 🚀 Получайте самые актуальные новости, интересные инсайты и свежие сплетни рынка. Не пропустите! Нажмите здесь, чтобы присоединиться к клубу: 👇
Новости Сегодня Telegram
В самых прискорбных случаях платформа Ethereum Layer 2, Abstract, была вынуждена рассказать о сожалениях о нарушении, в котором было охвачено примерно 400 000 долл. Cardex, так называемой «игры на основе блокчейна» в своей уважаемой сети.
Казалось бы, что нарушение, как можно было опасаться, из -за какой -либо неспособности в собственной основной инфраструктуре абстрактного уязвимости. Можно только удивляться неосторожности!
Беда кошельков Cardex
Этот наметительный инцидент зависит от неправильного использования клавиш сессии — особенностью абстрактного глобального кошелька (AGW), предназначенной для того, чтобы позволить пользователям временные разрешения, предназначенные для повышения их опыта, но в данном случае не привело к тому, что не привело к стрессу.
Поскольку в то время как клавиши сессии сами по себе являются функцией безопасности, которая была хорошо изучена, Cardex в своей мудрости решила использовать общий кошелек для подписавшихся для всех его пользователей — практика, которая даже наименее знающая среди нас Полем Возможно, можно сказать, что экспозиция личного ключа подписавшего сеанса на код фронта был, вишня на вершине этого довольно плохо запеченного торта, что привело к эксплойту, которая вызвала такой ажиотаж.
Последующее расследование Abstract’s показало, что рассматриваемые злодеяния будут определять открытую сессию, выполнить транзакцию Buyshares для заседания бедной жертвы, а затем, используя скомпрометированный ключ сессии, передайте себе акции, прежде чем продавать их на кривой связи Cardex, тем самым извлекаясь. Эт, как можно сжимать сок из апельсина.
Однако это небольшой комфорт, чтобы отметить, что только ETH, используемый в каркасе, был таким образом затронут, в то время как токены и NFT пользователей ERC-20 оставались такими же безопасными, как и всегда, благодаря ограничениям разрешений с ключами сеанса.
Последовательность событий началась в нечестивый час 6:07 EST 18 февраля, когда разработчик, без сомнения, с унылыми глазами из-за отсутствия сна, опубликовал транзакционную связь, которая указывает на то, что адрес был истощал средства с энтузиазмом жажды верблюд Через полчаса Cardex находился под подозрением, и команды безопасности вступили в действие со всей срочностью матери -курицы, чья цыпочка отклонилась.
Затем были приняты быстрые меры, чтобы смягчить катастрофу. Доступ к Cardex был заблокирован, был развернут сайт отзыва сеанса, и пострадавший договор был обновлен, чтобы предотвратить любые дальнейшие транзакции — факторы, которые можно будет только надеяться, будут служить уроком для других в будущем.
Аннотация, когда -либо ответственная сторона, обрисовала несколько шагов, чтобы предотвратить повторение такого инцидента. Отныне все приложения, перечисленные на его портале, должны пройти более строгий обзор безопасности, включая проверку кода переднего кода, чтобы предотвратить воздействие конфиденциальных ключей. Кроме того, использование клавиш сеансов по перечисленным приложениям будет переоценено, чтобы обеспечить правильную практику обрезки и хранения. Документация по внедрению ключа сеанса будет обновлена, без сомнения, со строгим напоминанием для всех их PS и QS.
Предстоящий путь
В ответ на это нарушение, Abstract интегрирует инструменты моделирования транзакций BlockAid в AGW, что, по -видимому, надеется, просвещают пользователей в отношении разрешений, которые они предоставляют при создании клавиш сессии. Сотрудничество с Tear и BlockAid также связано с улучшением безопасности ключей сеанса. На портале также будет представлена панель ключа сеанса, которая, как ожидается, предоставит пользователям централизованный интерфейс для просмотра и отозвания их открытых сессий — действительно наиболее приветствующее инновация, действительно!
Смотрите также
- БИТКОИН ПРОГНОЗ. BTC криптовалюта
- TRUMP ПРОГНОЗ. TRUMP криптовалюта
- SOL ПРОГНОЗ. SOL криптовалюта
- XRP ПРОГНОЗ. XRP криптовалюта
- DOGE ПРОГНОЗ. DOGE криптовалюта
- ПРОГНОЗ ДОЛЛАРА К ШЕКЕЛЮ
- POPCAT ПРОГНОЗ. POPCAT криптовалюта
- WIF ПРОГНОЗ. WIF криптовалюта
- ЭФИРИУМ ПРОГНОЗ. ETH криптовалюта
- ЛАЙТКОИН ПРОГНОЗ. LTC криптовалюта
2025-02-20 01:56