アブストラクトがセキュリティインシデントに対応: サードパーティアプリケーション Cardex の孤立した脆弱性により約 40 万ドルの損失が発生

Odaily スタージャーナルによると Abstract は、X のセキュリティ インシデントに対して次のように回答しました。「今朝、Abstract セキュリティ チームは、The Portal 内の Cardex アプリケーションに起因する脆弱性を検出しました。これは、Abstract Global Wallet (AGW) または Abstract ネットワーク自体の脆弱性ではなく、サードパーティ アプリケーション (Cardex) の個別のセキュリティ障害です。」
脆弱性を解消し、ユーザーの資金へのさらなる不正アクセスを防ぐために迅速に対応してくれたエンジニアリング チーム、セキュリティ研究者、Seal 911、Cardex チームに感謝します。この侵害により、約40万ドル相当のトークンが失われた。
脆弱性の原因
Cardex チームは初期監査を完了し、ポータルへの掲載が承認されましたが、その際、Cardex チームは誤って Web サイトのフロントエンドでセッション署名者に秘密鍵を公開してしまいました。これは監査の範囲外であり、私たちが警告していた行為でした。これにより、攻撃者はセッション キーを承認した任意のウォレットから Cardex 契約へのトランザクションを開始できるようになります。
Abstract セキュリティ標準 Abstract では、ポータルにアプリケーションを追加する前に厳格なセキュリティ プロセスに従います。これらには、各チームとの 1 対 1 の導入トレーニング、セキュリティのベスト プラクティスに関するコラボレーション、必須の広範なセキュリティ監査が含まれます。当社は、プロセスを改善し、セキュリティとユーザー保護に関する業界標準を確立するために、今後も定期的にビルダーやセキュリティの専門家と協議していきます。
必要なユーザーアクション 潜在的な攻撃ベクトルを防ぐために、ユーザーは Revoke を使用して、Abstract ウォレット内のアプリケーションとトークンの承認と権限を定期的に取り消すことを強くお勧めします。 ”