交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
以太坊Layer 2网络Abstract遭黑客攻击,Cardex游戏损失40万美元
以太坊Layer 2网络之一的Abstract近日发生一起安全事件,黑客通过区块链游戏Cardex窃取了价值约40万美元(约合5.76亿韩元)的加密货币。Abstract在事后报告中表示,此次黑客攻击并非由于其基础设施或会话密钥验证合约的问题,而是源于Cardex前端代码的漏洞。
安全漏洞与黑客攻击过程
本次事件的核心问题在于"会话密钥"管理不善。Abstract通过其全球钱包(Abstract Global Wallet, AGW)的会话密钥功能来改善用户体验,但Cardex采用了为所有用户共享单一签名钱包的方式。专家们一直警告这种"不被推荐的方式"存在安全隐患。
更为严重的是,签名者的私钥暴露在Cardex前端代码中,为攻击者提供了可乘之机。根据Abstract的分析,黑客首先检测到受害者的"开放会话",随后执行了一定数量的`buyShares`交易。接着,黑客利用窃取的会话密钥将资产转移到自己账户,并通过Cardex的绑定曲线出售,最终套取了以太坊(ETH)。
Abstract强调,此次攻击仅影响了Cardex内部使用的以太坊,ERC-20代币和NFT资产并未受到波及。
应对措施与未来计划
此次黑客攻击于美国东部时间2月18日上午6点07分被发现。一位开发者分享了某个钱包资金异常流出的交易记录,引起关注。随后,在30分钟内确认问题源自Cardex。Abstract及其安全团队立即采取行动,通过阻断Cardex访问、部署会话授权解除网站以及代码升级等措施,防止了进一步的损失。
Abstract表示,未来将加强对所有Abstract门户内注册应用程序的安全审查。特别将对前端代码进行严格的审计,确保敏感密钥不会泄露。同时,计划强化会话密钥使用方式的管理,并将Blockaid的交易模拟工具整合到AGW中,使用户能够更清晰地确认所授予的权限。
此外,Abstract还计划在门户内建立"会话密钥仪表盘",使用户能够在一个平台上查看自己的会话,并在需要时轻松撤销授权。
