Die Ethereum Layer 2 Plattform, Abstract, hat einen ersten Post-Mortem-Bericht zu einem Sicherheitsvorfall veröffentlicht, der zu einem Kompromittieren von etwa $400.000 im Wert von ETH in 9.000 Wallets führte, die mit Cardex, einem auf ihrer Plattform basierenden Blockchain-Spiel, interagieren.
Der Bericht klärte auf, dass der Vorfall auf Schwachstellen im Frontend-Code von Cardex zurückzuführen war, und nicht auf ein Problem mit der Kerninfrastruktur von Abstract oder den Validierungskontrakten für Sitzungsschlüssel.
Kompromittierung der Cardex Wallet
Der Vorfall drehte sich um den Missbrauch von Sitzungsschlüsseln, einem Mechanismus im Abstract Global Wallet (AGW), der vorübergehende, begrenzte Berechtigungen ermöglicht, um die Benutzererfahrung zu verbessern.
Obwohl die Sitzungsschlüssel selbst eine gut überprüfte Sicherheitsfunktion sind, machte Cardex einen entscheidenden Fehler, indem sie für alle Benutzer eine gemeinsame Sitzungsanmelder-Wallet verwendeten, was nicht empfohlen wird. Diese Schwachstelle wurde durch die Offenlegung des privaten Schlüssels des Sitzungsanmelders im Frontend-Code von Cardex weiter verstärkt, was letztendlich zum Exploit führte.
Laut der Ursachenanalyse von Abstract haben die Angreifer eine offene Sitzung bei einem Opfer identifiziert, eine buyShares-Transaktion in ihrem Namen initiiert und dann den kompromittierten Sitzungsschlüssel verwendet, um die Shares auf sich selbst zu übertragen, bevor sie sie auf der Cardex-Bondingkurve verkauften, um ETH zu extrahieren.
Wichtig ist, dass nur das in Cardex verwendete ETH betroffen war. Währenddessen blieben die ERC-20-Token und NFTs der Benutzer aufgrund der Beschränkungen der Sitzungsschlüsselberechtigungen sicher.
Der Zeitpunkt der Ereignisse zeigt, dass die ersten Anzeichen für verdächtige Aktivitäten um 6:07 Uhr EST am 18. Februar auftraten, als ein Entwickler einen Transaktionslink postete, der zeigt, wie ein Adresse Gelder abzieht. Innerhalb von weniger als 30 Minuten wurde Cardex als Quelle des Exploits verdächtigt, und Sicherheitsteams mobilisierten schnell, um zu untersuchen.
Innerhalb weniger Stunden wurden Maßnahmen zur Eindämmung ergriffen. Dazu gehörte das Blockieren des Zugriffs auf Cardex, das Bereitstellen einer Sitzungswiderrufungsseite sowie das Upgrade des betroffenen Vertrags, um weitere Transaktionen zu verhindern.
Abstract hat mehrere Maßnahmen skizziert, um zukünftige Vorfälle dieser Art zu verhindern. Zukünftig müssen alle in ihrem Portal aufgeführten Anwendungen einer strengeren Sicherheitsüberprüfung unterzogen werden, einschließlich Frontend-Code-Prüfungen, um die Offenlegung sensibler Schlüssel zu verhindern. Darüber hinaus werden die Verwendung von Sitzungsschlüsseln in den aufgeführten Apps erneut überprüft, um angemessene Begrenzungs- und Speicherpraktiken sicherzustellen. Die Dokumentation zur Implementierung von Sitzungsschlüsseln wird aktualisiert, um bewährte Verfahren zu stärken.
Was kommt als Nächstes
Als Reaktion auf diesen Vorfall integriert Abstract auch Blockaids Transaktionssimulationswerkzeuge in AGW, um Benutzern zu helfen, zu sehen, welche Berechtigungen sie gewähren, wenn sie Sitzungsschlüssel erstellen. Weitere Zusammenarbeiten mit Privy und Blockaid sind im Gange, um die Sicherheit von Sitzungsschlüsseln zu verbessern.
Ein Sitzungsschlüssel-Dashboard wird auch in The Portal eingeführt, das Benutzern eine zentrale Schnittstelle bieten soll, um ihre offenen Sitzungen zu überprüfen und zu widerrufen.
