Überwachung von Sicherheit: Cardex und der ETH-Verlust von 400.000 Dollar
"Wie eine Sicherheitslücke im Frontend von Cardex 9.000 Wallets entblößte und welche Maßnahmen zur zukünftigen Absicherung ergriffen werden"
Was passierte genau?
Die Sicherheitsuntersuchung von Abstract zeigt, dass die Schwachstelle nicht in deren zentraler Infrastruktur lag, sondern in dem Frontend-Code von Cardex. Eine entscheidende unsichere Praktik war die Verwendung eines gemeinsamen Session-Signatur-Wallets für alle Nutzer, was das Risiko eines Missbrauchs erhöhte. Die Angreifer konnten durch den Missbrauch von Session Keys, die temporäre Berechtigungen ermöglichen, Zugang zu Konten erhalten und unter dem Vorwand, Transaktionen im Namen der Nutzer durchzuführen, ETH abziehen.
Die Rolle von Session Keys
Session Keys sind ein manchmal komplexes, aber wichtiges Sicherheitsmerkmal, das die Nutzererfahrung verbessern kann, indem es temporäre Erlaubnisse für verschiedene Funktionen bereitstellt. Im Fall von Cardex führte das Design, das die private Schlüssel des Session Signers öffentlich machte, zu einem erheblichen Mangel an Sicherheit.
Die Anbieter von Abstract erläuterten, dass die Bedrohung durch diese unsichere Handhabung von Session Keys größer war, als zuerst angenommen. Glücklicherweise blieben die ERC-20 Tokens und NFTs der Nutzer aufgrund begrenzter Befugnisse der Session Keys unberührt, was darauf hinweist, dass nicht alle Informationen in Gefahr waren.
Reaktion und kommende Maßnahmen
Nach den ersten Anzeichen verdächtiger Aktivitäten – eine Mitteilung um 6:07 Uhr EST am 18. Februar, in der eine Adresse genannt wurde, die Gelder abhebt – wurde schnell reagiert. Innerhalb kurzer Zeit schulte Cardex ihre Sicherheitsprotokolle und sperrte den Zugang zur Plattform, um weitere Verluste zu minimieren.
Zusätzlich hat Abstract angekündigt, zukünftige Sicherheitsüberprüfungen strenger zu gestalten, einschließlich der Überprüfung von Frontend-Codes, um die Sicherheit von sensiblen Schlüsseln zu gewährleisten. Diese Schulungs- und Auditmaßnahmen sollen das Vertrauen der Nutzer in die Plattform langfristig stärken.
Ein wichtiger Schritt in die Zukunft
Als Teil ihrer Antwort auf diese Sicherheitsabschnitt hat Abstract auch die Integration von Blockaids Transaktionssimulationswerkzeugen in das Abstract Global Wallet (AGW) angekündigt. Dieses Tool wird es den Nutzern ermöglichen, klarer zu sehen, welche Berechtigungen sie bei der Erstellung von Session Keys gewähren. Zudem wird ein Dashboard eingeführt, das die Übersicht über offene Sessions zentralisieren soll, und somit den Nutzern mehr Kontrolle über ihre Sicherheitsrichtlinien bietet.
Zusammenfassend zeigt der Vorfall die Bedeutung von Sicherheitsstandards im Blockchain-Bereich auf. Es ist entscheidend, dass Plattformen wie Abstract diese Herausforderungen proaktiv angehen, um das Vertrauen der Nutzer zu wahren und künftige Angriffe zu verhindern.
