Layer 2 链 Abstract 发布了关于影响与 Cardex 互动的数千个钱包的安全事件的初步事后分析。

该事件于周二曝光，被描述为“会话密钥黑客攻击”，恶意行为者获得了与 Cardex 互动的钱包的访问权限，并窃取了资金。

Abstract 的匿名贡献者 Cygaar 在报告中指出，该漏洞涉及一个被所有 Cardex 用户共享的受损会话签名钱包，因 Cardex 前端代码中的密钥泄露而得以实现。

根据 Abstract 的说法，此事件导致用户资金损失 40 万美元，影响了 9,000 个钱包。

这意味着攻击者可以代表用户进行交易——转移并出售股份以窃取以太坊。该漏洞并未对用户的 ERC20 代币和 NFT 造成风险。

事后分析澄清，该问题并不是 Abstract 全球钱包（AGW）或核心网络本身的普遍问题，而是由于 Cardex 处理关键钱包凭证（如会话密钥）不当而导致的孤立事件。

AGW 使用会话密钥允许应用程序创建有限和特定范围的会话，以改善用户体验。这些密钥将特定钱包功能的访问权限委托给第三方。必须仔细管理会话密钥，以防止权限被授予恶意实体。

此次攻击利用了 Cardex 在管理会话密钥方面的漏洞，这些密钥用于授予应用程序临时访问钱包功能的权限。

Abstract 团队此前已敦促用户避免与 Cardex 互动，并撤销与该应用的任何活跃会话，以降低进一步风险。所有在 Abstract 门户中使用会话密钥的项目预计都将进行审计。

Abstract 是一个以消费者为中心的 Layer 2 区块链，由 Igloo Inc. 开发，该公司是 Pudgy Penguins 的母公司。

免责声明：The Block 是一家独立的媒体机构，提供新闻、研究和数据。截至 2023 年 11 月，Foresight Ventures 是 The Block 的主要投资者。Foresight Ventures 投资于加密领域的其他公司。加密交易所 Bitget 是 Foresight Ventures 的主要有限合伙人。The Block 继续独立运营，提供关于加密行业的客观、重要和及时的信息。以下是我们当前的财务披露。

© 2024 The Block. 版权所有。本文仅供信息参考。并不提供或意图作为法律、税务、投资、财务或其他建议。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。