Em uma ocorrência mais lamentável, a tão elogiada plataforma da camada Ethereum 2, abstrata, foi obrigada a recontar a lamentável conto de uma violação que viu a roubo de aproximadamente US $ 400.000 em ETH de nada menos que 9.000 carteiras, tudo no nome da CardEx, o chamado “jogo baseado em blockchain” em sua estimada rede.
Oi galera, prontos para mergulhar no mundo louco das notÃcias de cripto? Junte-se ao nosso canal do Telegram onde deciframos os mistérios da blockchain e rimos das mudanças de humor imprevisÃveis do Bitcoin. É como uma novela, mas com mais drama descentralizado! Não fique de fora, venha com a gente agora e vamos aproveitar a montanha-russa das criptos juntos! 💰🎢
☞ Junte-se ao Telegram
Parece que a violação não era, como se poderia temer, devido a qualquer falha na própria infraestrutura central do Resumo ou em seus contratos de validação de chave de sessão, mas de uma decisão muito imprudente por parte do CardEx de expor seu código de front -end a Vulnerabilidades. Só se pode pensar na imprudência!
A infortúnio das carteiras CardEx
Esse incidente lamentável dependia do uso indevido das chaves da sessão – uma caracterÃstica da carteira global abstrata (AGW) projetada para oferecer aos usuários permissões temporárias e com escopo, destinadas a melhorar sua experiência, mas que, nesse caso, não levou a nada além de angústia.
Por enquanto as chaves da sessão são, por si só, um recurso de segurança que foi bem examinado, a CardEx, em sua sabedoria, optou por empregar uma carteira de assinante de sessão compartilhada para todos os seus usuários – uma prática que mesmo o menos conhecedor entre nós teria aconselhado contra . A exposição da chave privada do significado da sessão para o código do front-end foi, pode-se dizer que a cereja no topo desse bolo pouco cozida, levando à exploração que causou tanta agitação.
A investigação subsequente do resumo revelou que os criminosos em questão identificariam uma sessão aberta, realizariam uma transação de compras no lugar do pobre vÃtima e, em seguida, usando a chave da sessão comprometida, transferem as ações para si mesmas antes de vendê -las na curva de ligação do CardEx, extraindo assim ETH como se pode espremer suco de uma laranja.
No entanto, é um pequeno conforto observar que apenas o ETH usado no CardEx foi assim afetado, enquanto os tokens e NFTs do ERC-20 dos usuários permaneceram tão seguros como sempre, graças às limitações das principais permissões da sessão.
A sequência de eventos começou na hora Ãmpia das 6:07 da manhã em 18 de fevereiro, quando um desenvolvedor, sem dúvida, olhos escuros por falta de sono, postaram um link de transação que indicava que um endereço estava drenando fundos com o entusiasmo de uma sede camelo. Dentro de meia hora, a Cardex estava sob suspeita e as equipes de segurança entraram em ação com toda a urgência de uma mãe galinha cuja garota se desviou.
As medidas rápidas foram tomadas para mitigar o desastre. O acesso ao CardEx foi bloqueado, um site de revogação de sessão foi implantado e o contrato afetado foi atualizado para evitar mais transações – ações que só se pode esperar servir como uma lição para outras pessoas no futuro.
Resumo, sempre a parte responsável, descreveu várias etapas para impedir que esse incidente seja recorrente. A partir de então, todos os aplicativos listados em seu portal devem passar por uma revisão mais rigorosa de segurança, incluindo auditorias de código front-end para evitar a exposição de chaves sensÃveis. Além disso, o uso de chaves de sessão nos aplicativos listados será reavaliado para garantir práticas adequadas de escopo e armazenamento. A documentação sobre a implementação da chave da sessão será atualizada, sem dúvida com um lembrete severo a todos para cuidar de seu PS e QS.
A estrada à frente
Em resposta a essa violação, o Resumo está integrando as ferramentas de simulação de transação do Blobaid à AGW, o que, espera -se, iluminar os usuários quanto à s permissões que eles estão concedendo ao criar chaves de sessão. As colaborações com Privy e Blobaid também estão em andamento, com o objetivo de melhorar a segurança da sessão. Um painel de chaves de sessão também será introduzido no portal, que deve fornecer aos usuários uma interface centralizada para revisar e revogar suas sessões abertas – uma inovação mais bem -vinda, de fato!
- ETHFI PREVISÃO. ETHFI criptomoeda
- PEP/USD
- FARTCOIN PREVISÃO. FARTCOIN criptomoeda
- Google’s Game-Changing AI Update for Gemini: What You Need to Know!
- ADA PREVISÃO. ADA criptomoeda
- VIRTUAL aumentará 85%? Analista prevê grande salto de preços
- Advogado pró-XRP e CTO da Ripple entram em conflito sobre alegações de privacidade do DeepSeek
- XRP PREVISÃO. XRP criptomoeda
- Receita tributária da Nigéria Eyes Crypto: Bill to Pass no inÃcio de 2025
2025-02-20 01:56