交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
新闻
文章
大V快讯
财经日历
专题
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
合约计算器
期权分析
账号安全
资讯收藏
自选币种
我的关注
以太坊Layer 2平台安全问题事件报告
事件概况
以太坊Layer 2平台Abstract近日发布了一份关于安全事件的初步报告。该事件导致约40万美元的ETH遭受损失,涉及与平台上一款基于区块链的游戏Cardex进行交互的9000个钱包。
事件根源
报告指出,此次安全漏洞源于Cardex前端代码中的漏洞,而非Abstract核心基础设施或会话密钥验证合约的问题。事件的核心在于会话密钥的误用,这是Abstract Global Wallet(AGW)中用于提供临时、限定范围权限以提升用户体验的机制。
尽管会话密钥本身是经过严格审计的安全功能,但Cardex犯了一个关键错误:为所有用户使用共享的会话签名钱包,这种做法并不被推荐。这一漏洞因会话签名者的私钥暴露在Cardex的前端代码中而进一步扩大,最终导致了攻击的发生。
攻击过程分析
根据Abstract的根源分析,攻击者识别出受害者的开放会话,代表其发起buyShares交易,然后利用被攻破的会话密钥将份额转移到自己名下,最后通过Cardex的绑定曲线出售这些份额以提取ETH。
需要特别指出的是,仅Cardex中使用的ETH受到影响。由于会话密钥权限的限制,用户的ERC-20代币和NFTs仍然保持安全。
事件时间线
事件时间线显示,2月18日美国东部时间早上6:07,当一名开发者发布了一个显示地址正在转移资金的交易链接时,首次出现可疑活动的迹象。在不到30分钟内,Cardex被怀疑是攻击的来源,安全团队迅速展开调查。
在几小时内,采取了缓解措施,包括阻止对Cardex的访问、部署会话撤销站点,以及升级受影响合约以防止进一步交易。
预防措施
Abstract已经制定了一系列措施来预防未来发生类似事件。今后,所有列在其门户网站上的应用程序都必须经过更严格的安全审查,包括前端代码审计以防止敏感密钥的暴露。此外,将重新评估列出的应用程序中会话密钥的使用情况,以确保适当的范围和存储实践。会话密钥实施的文档将被更新以加强最佳实践。
作为对此次漏洞的响应,Abstract还将Blockaid的交易模拟工具集成到AGW中,这将帮助用户在创建会话密钥时查看他们正在授予的权限。正在与Privy和Blockaid进行进一步合作,以提高会话密钥的安全性。
门户网站还将引入会话密钥仪表板,预计将为用户提供一个集中界面来审查和撤销他们的开放会话。
特别优惠
(赞助内容)
