Haberler 
Coin Bilgisi 
Hakkımızda 
Ethereum(ETH) katman-2 ağı projelerinden biri olan Abstract’te, blockchain tabanlı oyun Cardex üzerinden yaklaşık 400 bin dolar değerinde kripto para çalındı.
Abstract tarafından yapılan açıklamada, saldırının platformun kendi altyapısından ya da oturum anahtarı doğrulama sözleşmesinden kaynaklanmadığı, sorunun doğrudan Cardex’in ön yüz kodundaki güvenlik açığından kaynaklandığı belirtildi.
Olayın temelinde ‘oturum anahtarı’ yönetiminde yaşanan zafiyet yer alıyor. Abstract, kullanıcı deneyimini geliştirmek için Abstract Global Wallet(AGW) üzerinden oturum anahtarı sistemini kullanıyor. Ancak Cardex, tüm kullanıcılar için tek bir imza cüzdanını paylaşmayı tercih etti. Uzmanlar, bu yöntemin güvenlik açısından ‘önerilmeyen bir uygulama’ olduğunu dile getirmişti.
Saldırganlar, Cardex’in ön yüz kodunda imza sahibinin özel anahtarının açığa çıktığını fark ederek bunu suistimal etti. Abstract’in analizine göre, saldırganlar öncelikle kullanıcıların ‘açık oturum’ bilgilerini tespit etti ve belirli miktarda `buyShares` işlemi gerçekleştirdi. Ardından ele geçirdikleri oturum anahtarlarını kullanarak ilgili varlıkları kendi hesaplarına aktardı ve Cardex’in bonding curve mekanizması üzerinden satarak Ethereum(ETH) elde etti.
Olayın yalnızca Cardex içerisindeki Ethereum(ETH) işlemlerini etkilediği, ERC-20 token’ları ve NFT varlıklarının zarar görmediği Abstract tarafından vurgulandı.
Saldırı, ABD Doğu Yakası saatiyle 18 Şubat sabah 06:07’de tespit edildi. Bir geliştiricinin belirli bir cüzdandan izinsiz para çıkışı olduğunu bildirmesiyle olay fark edildi ve 30 dakika içinde saldırının kaynağının Cardex olduğu anlaşıldı. Abstract ekibi ile güvenlik uzmanları anında müdahale ederek Cardex erişimini devre dışı bıraktı, oturum yetkilendirme iptal sitesi yayına alındı ve kod güncellemeleri yapılarak yeni saldırıların önüne geçildi.
Abstract, ilerleyen süreçte tüm Abstract platformlarına yerleştirilen uygulamalar için güvenlik denetimlerini sıkılaştıracağını duyurdu. Özellikle ön yüz kodları, hassas anahtarların sızmasını önlemek için kapsamlı bir denetimden geçirilecek. Ayrıca oturum anahtarı yönetimi daha güvenli hale getirilecek ve kullanıcıların yetkilendirmelerini daha iyi anlayabilmesi adına AGW’ye Blockaid’in işlem simülasyonu aracı entegre edilecek.
Buna ek olarak, Abstract portalı içinde ‘oturum anahtarı yönetim paneli’ oluşturulacak. Böylece kullanıcılar oturumlarını kolayca takip edebilecek ve gerektiğinde basit bir şekilde iptal edebilecek.
Yorum 0