منصة Ethereum Layer 2 Abstract تُبلغ عن اختراق Crypto بقيمة 400 ألف دولار في حادثة Cardex

أصدرت منصة Ethereum Layer 2، Abstract، تقريرًا أوليًا عن حادث أمني أدى إلى اختراق ما يقارب 400,000 دولار من ETH عبر 9,000 محفظة تتفاعل مع Cardex، وهي لعبة تعتمد على تقنية البلوك تشين على شبكتها.

سبب الاختراق

أوضح التقرير أن الاختراق ناتج عن ثغرات في كود واجهة Cardex الأمامية وليس عن مشكلة في البنية التحتية الأساسية لـ Abstract أو عقود التحقق من مفتاح الجلسة.

اختراق محفظة Cardex

تمحورت الحادثة حول إساءة استخدام مفاتيح الجلسة، وهي آلية في Abstract Global Wallet (AGW) تسمح بأذونات مؤقتة ومحدودة النطاق لتحسين تجربة المستخدم.

على الرغم من أن مفاتيح الجلسة نفسها هي ميزة أمان تم تدقيقها جيدًا، إلا أن Cardex ارتكبت خطأً فادحًا باستخدام محفظة مفتاح جلسة مشتركة لجميع المستخدمين، وهي ممارسة غير موصى بها. تفاقم هذا الخلل بسبب تعرض المفتاح الخاص لمُوقِّع الجلسة لكود واجهة Cardex الأمامية، مما أدى في النهاية إلى الاستغلال.

وفقًا لتحليل السبب الجذري لـ Abstract، حدد المهاجمون جلسة مفتوحة من أحد الضحايا، وبدأوا معاملة buyShares نيابة عنهم، ثم استخدموا مفتاح الجلسة المخترق لنقل الأسهم إلى أنفسهم قبل بيعها على منحنى ترابط Cardex لاستخراج ETH.

من المهم ملاحظة أن ETH المستخدم فقط داخل Cardex هو الذي تأثر. في الوقت نفسه، ظلت رموز ERC-20 و NFTs الخاصة بالمستخدمين آمنة نظرًا لقيود أذونات مفتاح الجلسة.

الجدول الزمني للأحداث

1. في الساعة 6:07 صباحًا بتوقيت شرق الولايات المتحدة في 18 فبراير، تم الإبلاغ عن أولى علامات النشاط المشبوه عندما نشر أحد المطورين رابط معاملة يُظهر عنوانًا يستنزف الأموال.
2. في أقل من 30 دقيقة، تم الاشتباه في أن Cardex هو مصدر الاستغلال، وسارعت فرق الأمن للتحقيق.
3. في غضون ساعات، تم اتخاذ خطوات للتخفيف. وشمل ذلك حظر الوصول إلى Cardex، ونشر موقع لإلغاء الجلسة، بالإضافة إلى ترقية العقد المتأثر لمنع المزيد من المعاملات.

الاجراءات الوقائية

حددت Abstract العديد من الإجراءات لمنع وقوع حوادث من هذا النوع في المستقبل. ستخضع جميع التطبيقات المدرجة في بوابتها لمراجعة أمنية أكثر صرامة، بما في ذلك عمليات تدقيق لكود الواجهة الأمامية لمنع تعرض المفاتيح الحساسة. بالإضافة إلى ذلك، سيتم إعادة تقييم استخدام مفتاح الجلسة عبر التطبيقات المدرجة لضمان ممارسات النطاق والتخزين المناسبة. سيتم تحديث وثائق تنفيذ مفتاح الجلسة لتعزيز أفضل الممارسات.

ما القادم؟

استجابةً لهذا الاختراق، تقوم Abstract أيضًا بدمج أدوات محاكاة معاملات Blockaid في AGW، مما سيساعد المستخدمين على رؤية الأذونات التي يمنحونها عند إنشاء مفاتيح الجلسة. تجري المزيد من عمليات التعاون مع Privy و Blockaid لتحسين أمان مفتاح الجلسة.

سيتم أيضًا تقديم لوحة معلومات مفتاح الجلسة في البوابة، والتي من المتوقع أن تمنح المستخدمين واجهة مركزية لمراجعة جلساتهم المفتوحة وإلغائها.