La piattaforma Ethereum Layer 2, Abstract, ha rilasciato un'autopsia iniziale su un incidente di sicurezza che ha comportato la compromissione di ETH per un valore di circa 400.000 dollari su 9.000 portafogli che interagiscono con Cardex, un gioco basato su blockchain sulla sua rete.
Il rapporto ha chiarito che la violazione derivava da vulnerabilità nel codice frontend di Cardex piuttosto che da un problema con l'infrastruttura principale di Abstract o con i contratti di convalida della chiave di sessione.
Compromesso del portafoglio Cardex
L'incidente ruotava attorno all'uso improprio delle chiavi di sessione, un meccanismo nell'Abstract Global Wallet (AGW) che consente autorizzazioni temporanee e limitate per migliorare l'esperienza dell'utente.
Sebbene le chiavi di sessione stesse siano una funzionalità di sicurezza ben controllata, Cardex ha commesso un errore critico utilizzando un portafoglio del firmatario della sessione condiviso per tutti gli utenti, una pratica non consigliata. Questo difetto è stato ulteriormente amplificato dall'esposizione della chiave privata del firmatario della sessione al codice frontend di Cardex, che alla fine ha portato all'exploit.
Secondo l'analisi della causa principale di Abstract, gli aggressori hanno identificato una sessione aperta da una vittima, hanno avviato una transazione di acquistoShares per loro conto e quindi hanno utilizzato la chiave di sessione compromessa per trasferire le azioni a se stessi prima di venderle sulla curva obbligazionaria Cardex per estrarre ETH.
È importante sottolineare che è stato interessato solo l’ETH utilizzato all’interno di Cardex. Nel frattempo, i token ERC-20 e gli NFT degli utenti sono rimasti sicuri a causa delle limitazioni delle autorizzazioni della chiave di sessione.
La cronologia degli eventi indica che i primi segnali di attività sospetta sono stati segnalati alle 6:07 EST del 18 febbraio, quando uno sviluppatore ha pubblicato un collegamento a una transazione che mostrava un indirizzo che prosciugava fondi. In meno di 30 minuti, Cardex è stata sospettata come la fonte dell’exploit e le squadre di sicurezza si sono mobilitate rapidamente per indagare.
Nel giro di poche ore sono state adottate misure di mitigazione. Ciò includeva il blocco dell’accesso a Cardex, l’implementazione di un sito di revoca della sessione e l’aggiornamento del contratto interessato per impedire ulteriori transazioni.
Abstract ha delineato diverse misure per prevenire futuri incidenti di questa natura. In futuro, tutte le applicazioni elencate nel suo portale dovranno essere sottoposte a un controllo di sicurezza più rigoroso, compresi controlli del codice front-end per prevenire l'esposizione di chiavi sensibili. Inoltre, l'utilizzo della chiave di sessione tra le app elencate verrà rivalutato per garantire pratiche di ambito e archiviazione adeguate. La documentazione sull'implementazione delle chiavi della sessione verrà aggiornata per rafforzare le migliori pratiche.
Cosa c'è davanti
In risposta a questa violazione, Abstract sta anche integrando gli strumenti di simulazione delle transazioni di Blockaid in AGW, che aiuteranno gli utenti a vedere quali autorizzazioni stanno concedendo durante la creazione delle chiavi di sessione. Sono in corso ulteriori collaborazioni con Privy e Blockaid per migliorare la sicurezza delle chiavi di sessione.
Nel Portale verrà inoltre introdotta una dashboard chiave di sessione, che dovrebbe fornire agli utenti un'interfaccia centralizzata per rivedere e revocare le sessioni aperte.
Il post L'estratto della piattaforma Ethereum Layer 2 segnala una violazione di criptovalute da $ 400.000 nell'incidente di Cardex è apparso per la prima volta su CryptoPotato .