Analisis Pasca Insiden Pelanggaran Keamanan Cardex yang Mempengaruhi 9.000 Dompet
Abstract Releases Post-Mortem on Cardex Security Breach Affecting 9,000 Wallets https://cryptonews.com/news/abstract-releases-post-mortem-on-cardex-security-breach-affecting-9000-wallets/

Abstract Meresakan Keamanan Breach pada Cardex yang Mengaruh 9.000 Wallet

Abstract telah merilis laporan pos mortem tentang keamanan breach pada Cardex, aplikasi ketiga pihak yang mempengaruhi 9.000 wallet dan menyebabkan kerugian sekitar $400.000 karena kelemahan dalam pengelolaan kunci sesi.

Kronologi Kejadian

Pada pagi hari ini, tim keamanan Abstract mendeteksi eksploit asal dari Cardex, aplikasi ketiga pihak dalam The Portal. Ini bukanlah kerusakan pada wallet global Abstract (AGW) atau jaringan Abstract sendiri, tetapi kegagalan keamanan yang terisolasi oleh aplikasi ketiga pihak (Cardex).

Analisis Kegagalan

Kerusakan ini berasal dari kelemahan kritikal dalam pengelolaan kunci sesi Cardex. Selama proses audit awal yang diperlukan untuk daftar pada The Portal, tim Cardex secara tidak sengaja mengekspose kunci pribadi mereka pada session signer di depanan. Kunci ini terletak di dalam kode sumber publik mereka, sehingga dapat dengan mudah diakses oleh siapa saja yang memeriksa kode sumber publik mereka. Session signer ini dirancang untuk memudahkan interaksi yang lancar antara pengguna dan kontrak pintar Cardex. Namun, kunci ini disebarkan kepada semua pengguna, membuat titik kegagalan tunggal.

Kerusakan yang Terjadi

Eksploit ini memungkinkan penyerang melakukan berbagai tindakan, termasuk pembelian, pengalihan, dan penjualan saham melalui session yang terkompromi, akhirnya menyebabkan kerugian Ethereum pada pengguna. Transaksi ini dilakukan tanpa konfirmasi tambahan pengguna, menggunakan kunci sesi yang telah disetujui untuk melanggar periksaan keamanan standar. Menurut 0xCygaar, seorang insinyur Abstract yang juga menganalisis kejadian ini, penyebab utama adalah penggunaan session signer yang berbagi dan kunci pribadinya yang terpapar di depanan.

Tindakan Kebijakan

Abstract merespons dengan cepat dengan bekerja sama dengan Seal 911, peneliti keamanan, dan tim Cardex untuk mengisolasi eksploit. Pada 9:35 pagi EST, kontrak yang terkompromi diperbarui untuk mengembalikan semua transaksi, sehingga mencegah eksploit lanjutan.

Langkah Keamanan di Masa Depan

Abstract akan mengambil langkah-langkah keamanan yang lebih ketat. Semua proyek yang terdaftar pada Portal akan diaudit secara komprehensif, termasuk kode kontrak dan praktik keamanan depanan. Selain itu, Abstract akan memaksa pengguna untuk memiliki session signer individu per pengguna dan menyimpan kunci enkripsi, menyelesaikan penyebab utama kegagalan ini. Untuk melindungi pengguna lebih lanjut, Abstract akan mengintegrasikan perangkat lunak simulasi transaksi Blockaid ke wallet global Abstract, memungkinkan pengguna untuk memahami izin lebih baik ketika menciptakan kunci sesi. Dashboard kunci sesi juga akan diperkenalkan, memberikan pengguna visibilitas dan kontrol yang lebih baik atas sesi aktif mereka.