Odaily Daily News Abstract responds to security incidents in X's article: "This morning, the Abstract security team detected a vulnerability in the Cardex application within The Portal. This is not a vulnerability of the Abstract Global Wallet (AGW) or the Abstract network itself, but an isolated security flaw in the third-party application (Cardex).
Cảm ơn đội ngũ kỹ sư của chúng tôi, các nhà nghiên cứu an ninh, nhóm Seal 911 và Cardex đã nhanh chóng hành động để khắc phục lỗ hổng và ngăn chặn việc truy cập không được ủy quyền vào quỹ người dùng. Lỗ hổng này đã gây thiệt hại ước lượng khoảng 400,000 đô la.
Nguyên nhân lỗ hổng
Nhóm Cardex đã hoàn thành việc xem xét sơ bộ và được phép liệt kê trên trang web cổng thông tin. Trong quá trình này, nhóm Cardex đã vô tình tiết lộ khóa riêng tư cho người ký phiên trang web của họ, điều này vượt quá phạm vi xem xét và cũng là một hành vi chúng tôi cảnh báo. Điều này cho phép kẻ tấn công thực hiện giao dịch với hợp đồng Cardex đối với bất kỳ ví nào đã được phê duyệt.
Tiêu chuẩn an toàn trừu tượng
Trước khi thêm bất kỳ ứng dụng nào vào cổng thông tin của chúng tôi, Abstract đều tuân theo quy trình an ninh nghiêm ngặt. Điều này bao gồm: đào tạo giới thiệu từng đội một, hợp tác với các nguyên tắc an ninh tốt nhất và kiểm định an ninh toàn diện bắt buộc. Chúng tôi sẽ tiếp tục thường xuyên tham vấn các nhà xây dựng và chuyên gia an ninh để cải thiện quy trình của chúng tôi và thiết lập tiêu chuẩn ngành cho an ninh và bảo vệ người dùng.
Cần người dùng thực hiện hành động
Để ngăn chặn các phương tiện tấn công tiềm năng, chúng tôi khuyến nghị người dùng thường xuyên thu hồi sự chấp thuận và quyền hạn của ứng dụng và token trong Ví Trừu tượng của họ thông qua Revoke.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Abstract đáp ứng với sự kiện an ninh: bắt nguồn từ lỗ hổng cô lập của ứng dụng bên thứ ba Cardex, tổn thất khoảng 40 vạn đô la
Odaily Daily News Abstract responds to security incidents in X's article: "This morning, the Abstract security team detected a vulnerability in the Cardex application within The Portal. This is not a vulnerability of the Abstract Global Wallet (AGW) or the Abstract network itself, but an isolated security flaw in the third-party application (Cardex). Cảm ơn đội ngũ kỹ sư của chúng tôi, các nhà nghiên cứu an ninh, nhóm Seal 911 và Cardex đã nhanh chóng hành động để khắc phục lỗ hổng và ngăn chặn việc truy cập không được ủy quyền vào quỹ người dùng. Lỗ hổng này đã gây thiệt hại ước lượng khoảng 400,000 đô la. Nguyên nhân lỗ hổng Nhóm Cardex đã hoàn thành việc xem xét sơ bộ và được phép liệt kê trên trang web cổng thông tin. Trong quá trình này, nhóm Cardex đã vô tình tiết lộ khóa riêng tư cho người ký phiên trang web của họ, điều này vượt quá phạm vi xem xét và cũng là một hành vi chúng tôi cảnh báo. Điều này cho phép kẻ tấn công thực hiện giao dịch với hợp đồng Cardex đối với bất kỳ ví nào đã được phê duyệt. Tiêu chuẩn an toàn trừu tượng Trước khi thêm bất kỳ ứng dụng nào vào cổng thông tin của chúng tôi, Abstract đều tuân theo quy trình an ninh nghiêm ngặt. Điều này bao gồm: đào tạo giới thiệu từng đội một, hợp tác với các nguyên tắc an ninh tốt nhất và kiểm định an ninh toàn diện bắt buộc. Chúng tôi sẽ tiếp tục thường xuyên tham vấn các nhà xây dựng và chuyên gia an ninh để cải thiện quy trình của chúng tôi và thiết lập tiêu chuẩn ngành cho an ninh và bảo vệ người dùng. Cần người dùng thực hiện hành động Để ngăn chặn các phương tiện tấn công tiềm năng, chúng tôi khuyến nghị người dùng thường xuyên thu hồi sự chấp thuận và quyền hạn của ứng dụng và token trong Ví Trừu tượng của họ thông qua Revoke.