ok数字货币交易所:“cardex”游戏利用以太坊2层摘要上的排水钱包

  • 2025-02-19 11:36:40
  • 62
欧意报道:

卡片,一个区块链交易卡游戏以太坊第2层网络抽象的根据摘要网络核心贡献者的说法 ,,私钥不当,导致价值超过47万美元的以太坊从与之互动的钱包中排出 。

卡片提供了“高端交易卡 ”的令牌化数字版本 ,就像第一版Shining CharizardPokémonCars一样 ,然后可以用来参加在线锦标赛。每张卡的分数由其“性能”评级计算出来,并乘以其稀有性,这些分数用于确定谁将赢得比赛。

游戏正式启动上星期在为早期访问用户提供24小时的预售后 。星期二初 ,与抽象应用相互作用的钱包开始被资金排出 。假名抽象核心贡献者同源0xbeans弄清楚了cardex私钥是不幸,落入恶意演员的手中,将其确认在X(以前为Twitter)上。

使用此钥匙 ,攻击者能够消耗与游戏有活跃的“会话”的钱包。看来,当PlayExEx时,提示用户签署交易 ,称为会议,这将使应用程序在一段时间内完全控制钱包的资金 - 一个月在这种情况下,根据一位开发人员谁与之交谈解密.

“课程基本上是指允许智能合约(或DAPP)代表用户执行交易的临时授权 ,而无需每次需要新的批准 。 ”奎尔审核Pritam Rao,告诉解密。

在七个小时的时间里,攻击者成功排出了180多个ETH ,价值约484,000美元。沙丘仪表板跟踪攻击者的钱包 。

幸运的是 ,仅将漏洞利用与与Cardex互动的漏洞隔离开来,尽管一些用户对此提出异议。同样,根据同源 ,更新了卡片,从而结束了攻击。 Cygaar确认,一旦所有细节淘汰 ,将发布有关情况的完整报告 。

“这对抽象生态系统是一个巨大的打击, ” Rao告诉解密。 “ Cardex尚未确认他们的社交攻击,这是一个糟糕的举动。在这样的时候 ,它们应该是透明的 。”

这次攻击引发了令人不舒服的问题,围绕在抽象生态系统中促进应用程序。一些抽象用户是恼火鼓励他们探索潜在的资金风险的应用程序。

“该门户网站上的所有应用合同均已审核(所有焦点都有一级公司对其进行审计),” Cygaar声称 。 “在这种情况下 ,问题不是特定于合同的问题,但是即使到那时,我们也可以做得更好 ,迫使他们[运营安全]验证 。 ”

尽管如此 ,一些用户向后推在此解释中,声称利用表明整个会话密钥对用户而言并不是一个安全的解决方案。摘要是围绕用户友好性构建的,并且由于这种精简功能而吸引了广泛的消费者基础。

Rao说 ,即使这种特殊的实施燃烧了用户,也不是答案的大责备键 。

“通常,会议键很擅长 ,” Rao解释说。 “这仅取决于它们的管理方式。想想他们像客人的通行证 - 您不想一次又一次地批准合同进行交易,对吗?它只是使它更加方便 。”

编辑安德鲁·海沃德(Andrew Hayward)