Cardex "游戏漏洞掏空了以太坊第 2 层摘要上的钱包

据报道，抽象交易卡牌游戏 Cardex 私钥处理不当，导致玩家价值近 50 万美元的资产被盗。

据 Abstract 网络核心贡献者称，以太坊二层网络 Abstract 上的区块链交易卡游戏 Cardex 私钥处理不当，导致与之交互的钱包中价值超过 47 万美元的以太坊被盗。

Cardex 提供代币化的数字版 "高端交易卡"，如第一版闪耀魔法师神奇宝贝卡，然后可以用来参加在线锦标赛。每张卡都有一个分数，分数由其 "性能 "等级乘以稀有度计算得出，这些分数用来决定谁将赢得比赛。

在对早期用户进行 24 小时卡牌预售后，游戏于上周正式上线。本周二一早，与 Abstract 应用程序有互动的钱包里的资金开始流失。化名为 Abstract 核心贡献者的 Cygaar 和 0xBeans 发现 Cardex 私钥处理不当，落入了恶意行为者之手，并在 X（前 Twitter）上进行了确认。

有了这个密钥，攻击者就能盗取与游戏有活动 "会话 "的钱包。据一位与Decrypt 交谈过的开发者称，在玩 Cardex 时，用户会被提示签署一项交易，即会话，该会话将在一段时间内给予应用程序对钱包资金的完全控制权--在这种情况下，据说是一个月。

"安全公司 Quill Audits 的首席执行官普雷塔姆-拉奥（Preetam Rao）告诉Decrypt："会话基本上是指一种临时授权，允许智能合约（或 dapp）代表用户执行交易，而无需每次都重新审批。

根据追踪攻击者钱包的 Dune 面板显示，在七个小时的时间里，攻击者成功盗取了超过 180 个 ETH，价值约 48.4 万美元。

幸运的是，该漏洞只被那些与 Cardex 进行过交互的用户所隔离，因此大部分网络仍然是安全的--尽管一些用户对此提出了质疑。同样，根据 Cygaar 的说法，Cardex 已经更新，从而结束了这次攻击。Cygaar 确认，一旦所有细节都理清，将发布一份完整的情况报告。

"这对抽象生态系统是一个巨大的打击，"Rao 告诉Decrypt。"Cardex还没有从他们的社交媒体上证实这次攻击，这是一个糟糕的举动。在这种时候，他们应该做到透明。"

这次攻击引发了有关 Abstract 生态系统内推广哪些应用程序的令人不安的问题。一些 Abstract 用户感到恼火的是，他们被鼓励去探索那些可能使他们的资金面临风险的应用程序。

"Cygaar 声称："门户网站上的所有应用程序合同都经过了审核（任何被曝光的应用程序都有一级公司进行审核）。"在这种情况下，问题不在于具体的合同，但即便如此，我们也可以做得更好，迫使他们对其[运行安全性]进行验证。"

不过，也有一些用户反驳了这一解释，声称这一漏洞表明，会话密钥对用户来说整体上并不是一个安全的解决方案。Abstract 是围绕用户友好性而构建的，并凭借这样的精简功能吸引了广泛的消费者群体。

不过，Rao 表示，即使这种特殊的实现方式烧伤了用户，笼统地指责会话密钥也不是解决问题的办法。

"一般来说，会话密钥是好东西，"Rao 解释说。"这只是取决于如何管理它们。把它们想象成访客通行证--你不会想为了交换交易而一次又一次地批准一个合同吧？这只是让它更方便而已。

编辑：安德鲁-海沃德

More News

• All
• CT
• Coindesk
• Decrypt
• DLNews