自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
30.00% 70.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

Cardex漏洞利用事件:9,000个钱包损失价值40万美元以太坊

2025-02-19 03:15:16
收藏

Layer 2链Abstract发布安全事件初步报告

Layer 2链Abstract近日发布了一份关于影响数千个与Cardex交互钱包的安全事件的初步报告。Cardex是一款基于区块链的游戏,在该网络上运行。

事件概述

此次事件于本周二曝光,被描述为“会话密钥攻击”。攻击者通过泄露的Cardex前端代码中的密钥,获取了所有Cardex用户共享的会话签名钱包的访问权限,并盗取了资金。

根据Abstract的报告,此次事件导致用户资金损失达40万美元,影响到了9000个钱包。这意味着攻击者可以代表用户进行交易——转移并出售股份以窃取ETH。不过,此次攻击并未对用户的ERC20代币和NFT构成风险。

事件原因分析

报告明确指出,此次事件并非Abstract Global Wallet(AGW)或核心网络本身存在的普遍问题,而是由Cardex在处理关键钱包凭证(如会话密钥)时的失误导致的孤立事件。

AGW使用会话密钥来允许应用程序创建有限且范围明确的会话,以提升用户体验。这些密钥将特定钱包功能的访问权限委托给第三方。因此,必须谨慎管理会话密钥,以防止权限被授予恶意实体。

此次攻击利用了Cardex在管理会话密钥方面的漏洞,这些密钥用于授予应用程序临时访问钱包功能的权限。

后续措施

Abstract团队此前已敦促用户避免与Cardex交互,并撤销与该应用程序的任何活动会话,以降低进一步风险。所有在Abstract门户中使用会话密钥的项目都将接受审计。

Abstract是由Igloo Inc.开发的一个以消费者为中心的Layer 2区块链,该公司也是Pudgy Penguins的母公司。

免责声明:本文仅供参考,不构成法律、税务、投资、财务或其他建议。

免责声明:

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证,网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用,不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责,与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容,并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文
更多新闻