😱 Misadventure eth $ 400K của Cardex: Một câu chuyện về các phím không đúng chỗ! 😱

by

Trong một sự xuất hiện đáng tiếc nhất, nền tảng Ethereum Layer 2 được đánh giá cao, Tóm tắt, đã bị buộc phải kể lại câu chuyện xin lỗi về một vi phạm đã thấy việc ăn cắp khoảng 400.000 đô la ETH từ không dưới 9.000 ví, tất cả đều có tên trong tên của Cardex, một trò chơi được gọi là ‘dựa trên blockchain’ trên mạng được đánh giá cao.

Dường như vi phạm không phải là, vì người ta có thể sợ, do bất kỳ sự thất bại nào trong cơ sở hạ tầng cốt lõi của chính bạn lỗ hổng. Người ta chỉ có thể tự hỏi về sự thiếu thốn!

Sự bất hạnh của ví thẻ

Sự cố than thở này đã sử dụng sai các khóa phiên, một tính năng của ví toàn cầu trừu tượng (AGW) được thiết kế để đủ khả năng cho người dùng quyền tạm thời, phạm vi, dự định nâng cao trải nghiệm của họ, nhưng trong trường hợp này, đã không dẫn đến điều gì ngoài sự đau khổ.

Vì trong khi các khóa phiên, bản thân họ, một tính năng bảo mật đã được xem xét kỹ lưỡng, CardEx, trong sự khôn ngoan của nó, đã chọn sử dụng ví người ký phiên chia sẻ cho tất cả người dùng của mình, một thực hành mà ngay cả những người ít hiểu biết nhất trong số chúng ta sẽ không . Sự tiếp xúc của người ký phiên ký khóa riêng với mã Frontend là, người ta có thể nói, quả anh đào trên chiếc bánh khá xấu này, dẫn đến việc khai thác đã gây ra sự khuấy động như vậy.

Cuộc điều tra tiếp theo của Tóm tắt cho thấy rằng các hành vi sai trái trong câu hỏi sẽ xác định một phiên mở, thực hiện giao dịch BuyShares thay thế nạn nhân nghèo, và sau đó, sử dụng khóa phiên bị xâm phạm, chuyển cổ phiếu cho chính họ trước khi bán chúng trên đường cong liên kết Cardex, do đó trích xuất ETH như người ta có thể ép nước ép từ một quả cam.

Tuy nhiên, một sự thoải mái nhỏ cần lưu ý rằng chỉ có ETH được sử dụng trong CardEx bị ảnh hưởng, trong khi người dùng Token và NFT của người dùng vẫn an toàn hơn bao giờ hết, nhờ các hạn chế của các quyền khóa phiên.

Trình tự các sự kiện bắt đầu vào giờ vô duyên của 6:07 sáng EST vào ngày 18 tháng 2, khi một nhà phát triển, không nghi ngờ gì khi thiếu ngủ, đã đăng một liên kết giao dịch cho thấy một địa chỉ đang rút cạn tiền với sự nhiệt tình của khát nước con lạc đà. Trong vòng nửa giờ, Cardex đã bị nghi ngờ, và các đội an ninh đã hành động với tất cả sự cấp bách của một con gà mái có con gà con đã đi lạc.

Các biện pháp nhanh chóng sau đó đã được thực hiện để giảm thiểu thảm họa. Truy cập vào CardEx đã bị chặn, một trang web thu hồi phiên đã được triển khai và hợp đồng bị ảnh hưởng đã được nâng cấp để ngăn chặn bất kỳ giao dịch nào khác mà các hành động mà người ta chỉ có thể hy vọng sẽ phục vụ như một bài học cho những người khác trong tương lai.

Tóm tắt, bao giờ là bên có trách nhiệm, đã vạch ra một số bước để ngăn chặn sự cố như vậy tái phát. Do đó, tất cả các ứng dụng được liệt kê trong cổng thông tin của nó phải trải qua một đánh giá bảo mật chặt chẽ hơn, bao gồm kiểm toán mã mặt trước để ngăn chặn sự tiếp xúc của các khóa nhạy cảm. Ngoài ra, việc sử dụng các khóa phiên trên các ứng dụng được liệt kê sẽ được đánh giá lại để đảm bảo thực tiễn phạm vi và lưu trữ phù hợp. Tài liệu về triển khai khóa phiên sẽ được cập nhật, không còn nghi ngờ gì nữa với một lời nhắc nhở nghiêm khắc cho tất cả mọi người để nhớ PS và QS của họ.

Con đường phía trước

Để đối phó với vi phạm này, Tóm tắt đang tích hợp các công cụ mô phỏng giao dịch Blockaid vào AGW, người ta hy vọng, sẽ khai sáng cho người dùng về các quyền mà họ đang cấp khi tạo các khóa phiên. Sự hợp tác với bí mật và blockaid cũng đang diễn ra, nhằm mục đích cải thiện bảo mật khóa phiên. Bảng điều khiển khóa phiên cũng sẽ được giới thiệu trong cổng thông tin, dự kiến ​​sẽ cung cấp cho người dùng một giao diện tập trung để xem xét và thu hồi các phiên mở của họ, một sự đổi mới đáng hoan nghênh nhất, thực sự!

2025-02-20 01:56