欧 易官网网址:以太坊第2层平台摘要报告$400kCrypto在Cardex事件中漏洞

欧意报道：

Ethereum第2层平台摘要发布了有关安全事件的最初验尸后 ，导致在9,000个钱包中与Cardex相互作用的折衷
，价值约400,000美元，这是其网络上的基于区块链的游戏。

该报告澄清说 ，违规源于Cardex的前端代码中的漏洞
，而不是摘要的核心基础架构或会话密钥验证合同的问题 。

卡片钱包妥协

该事件围绕着滥用会话键，这是一种抽象全球钱包（AGW）中的机制 ，允许临时
，范围的权限以改善用户体验
。

虽然会话键本身是一项备受审计的安全功能，但Cardex通过为所有用户使用共享的会话签名钱包造成了重大错误 ，这是不建议这样做的练习。会话签名者的私钥访问Cardex的前端代码，这最终导致了漏洞
，这一缺陷进一步扩大了 。

根据摘要的根本原因分析攻击者确定了受害者的公开会议，代表他们启动了购买交易 ，然后使用折衷的会话密钥将股份转移给自己
，然后再在Cardex键合曲线上出售它们以提取ETH
。

重要的是，只有卡片中使用的ETH受到影响。同时 ，由于会话密钥权限的限制
，用户的ERC-20令牌和NFT仍然安全 。

事件的时间表表明，可疑活动的第一个迹象在2月18日美国东部时间上午6:07标记 ，当时开发人员发布了一个交易链接
，显示了地址排水资金
。在不到30分钟的时间内，Xerdex被怀疑是漏洞的来源 ，安全团队迅速动员进行调查。

在几个小时内
，采取了缓解步骤 。这包括阻止对Cardex的访问，部署会话撤销站点 ，以及升级受影响的合同以防止进一步交易。

摘要概述了一些措施，以防止这种性质的未来事件
。展望未来
，其门户网站中列出的所有应用程序都必须进行更严格的安全审查，包括前端代码审核 ，以防止敏感密钥暴露。此外
，将重新评估列出的应用程序的会话密钥用法，以确保适当的范围范围和存储实践 。会话密钥实施的文档将进行更新 ，以加强最佳实践
。

面临什么

为了应对这种违规
，摘要还将Blockaid的交易仿真工具集成到AGW中，这将帮助用户查看创建会话密钥时授予的权限。正在与Privy和Blokaid进行进一步的合作 ，以改善会话密钥安全性 。

该门户网站还将引入会话密钥仪表板
，该门户将为用户提供集中式界面，以审查和撤销其开放会议
。