Odaily Thông tin Planet Daily Abstract đã phản hồi về sự cố bảo mật trên X: "Sáng nay, nhóm bảo mật Abstract đã phát hiện ra một lỗ hổng bắt nguồn từ ứng dụng Cardex trong The Portal. Đây không phải là lỗ hổng trong Abstract Global Wallet (AGW) hay chính mạng lưới Abstract, mà là lỗi bảo mật riêng lẻ của ứng dụng bên thứ ba (Cardex).
Xin cảm ơn đội ngũ kỹ sư, các nhà nghiên cứu bảo mật, Seal 911 và nhóm Cardex đã hành động nhanh chóng để vá lỗ hổng và ngăn chặn việc truy cập trái phép vào tiền của người dùng. Vụ vi phạm này liên quan đến việc mất các mã thông báo có giá trị khoảng 400.000 đô la.
Nguyên nhân của lỗ hổng
Nhóm Cardex đã hoàn tất đợt kiểm toán ban đầu và được chấp thuận niêm yết trên cổng thông tin. Trong quá trình đó, nhóm Cardex đã vô tình tiết lộ khóa riêng tư cho những người ký phiên trên trang web của họ, điều này nằm ngoài phạm vi kiểm toán và là hành vi mà chúng tôi đã cảnh báo. Điều này cho phép kẻ tấn công bắt đầu giao dịch với hợp đồng Cardex từ bất kỳ ví nào đã chấp thuận khóa phiên.
Tiêu chuẩn bảo mật Abstract tuân theo quy trình bảo mật nghiêm ngặt trước khi thêm bất kỳ ứng dụng nào vào cổng thông tin của chúng tôi. Bao gồm: đào tạo định hướng riêng cho từng nhóm, hợp tác về các biện pháp bảo mật tốt nhất và kiểm toán bảo mật mở rộng bắt buộc. Chúng tôi sẽ tiếp tục tham khảo ý kiến của các nhà xây dựng và chuyên gia an ninh thường xuyên để cải thiện quy trình và đặt ra các tiêu chuẩn của ngành về an ninh và bảo vệ người dùng.
Hành động bắt buộc của người dùng Để ngăn chặn các phương thức tấn công tiềm ẩn, chúng tôi đặc biệt khuyến nghị người dùng thường xuyên thu hồi các phê duyệt và quyền đối với các ứng dụng và mã thông báo trong ví Abstract của họ thông qua Revoke. “