以太坊第2层平台摘要报告$ 400k Crypto在Cardex事件中漏洞

币圈网报道：

Ethereum第2层平台摘要发布了有关安全事件的最初验尸后，导致在9,000个钱包中与Cardex相互作用的折衷，价值约400,000美元，这是其网络上的基于区块链的游戏。

该报告澄清说，违规源于Cardex的前端代码中的漏洞，而不是摘要的核心基础架构或会话密钥验证合同的问题。

卡片钱包妥协

该事件围绕着滥用会话键，这是一种抽象全球钱包（AGW）中的机制，允许临时，范围的权限以改善用户体验。

虽然会话键本身是一项备受审计的安全功能，但Cardex通过为所有用户使用共享的会话签名钱包造成了重大错误，这是不建议这样做的练习。会话签名者的私钥访问Cardex的前端代码，这最终导致了漏洞，这一缺陷进一步扩大了。

根据摘要的根本原因分析攻击者确定了受害者的公开会议，代表他们启动了购买交易，然后使用折衷的会话密钥将股份转移给自己，然后再在Cardex键合曲线上出售它们以提取ETH。

重要的是，只有卡片中使用的ETH受到影响。同时，由于会话密钥权限的限制，用户的ERC-20令牌和NFT仍然安全。

事件的时间表表明，可疑活动的第一个迹象在2月18日美国东部时间上午6:07标记，当时开发人员发布了一个交易链接，显示了地址排水资金。在不到30分钟的时间内，Xerdex被怀疑是漏洞的来源，安全团队迅速动员进行调查。

在几个小时内，采取了缓解步骤。这包括阻止对Cardex的访问，部署会话撤销站点，以及升级受影响的合同以防止进一步交易。

摘要概述了一些措施，以防止这种性质的未来事件。展望未来，其门户网站中列出的所有应用程序都必须进行更严格的安全审查，包括前端代码审核，以防止敏感密钥暴露。此外，将重新评估列出的应用程序的会话密钥用法，以确保适当的范围范围和存储实践。会话密钥实施的文档将进行更新，以加强最佳实践。

面临什么

为了应对这种违规，摘要还将Blockaid的交易仿真工具集成到AGW中，这将帮助用户查看创建会话密钥时授予的权限。正在与Privy和Blokaid进行进一步的合作，以改善会话密钥安全性。

该门户网站还将引入会话密钥仪表板，该门户将为用户提供集中式界面，以审查和撤销其开放会议。