“ cardex”游戏利用以太坊2层摘要上的排水钱包

卡片，一个区块链交易卡游戏以太坊第2层网络抽象的根据摘要网络核心贡献者的说法，，私钥不当，导致价值超过47万美元的以太坊从与之互动的钱包中排出。

卡片提供了“高端交易卡”的令牌化数字版本，就像第一版Shining CharizardPokémonCars一样，然后可以用来参加在线锦标赛。每张卡的分数由其“性能”评级计算出来，并乘以其稀有性，这些分数用于确定谁将赢得比赛。

游戏正式启动上星期在为早期访问用户提供24小时的预售后。星期二初，与抽象应用相互作用的钱包开始被资金排出。假名抽象核心贡献者同源0xbeans弄清楚了cardex私钥是不幸，落入恶意演员的手中，将其确认在X（以前为Twitter）上。

使用此钥匙，攻击者能够消耗与游戏有活跃的“会话”的钱包。看来，当PlayExEx时，提示用户签署交易，称为会议，这将使应用程序在一段时间内完全控制钱包的资金 - 一个月在这种情况下，根据一位开发人员谁与之交谈解密.

“课程基本上是指允许智能合约（或DAPP）代表用户执行交易的临时授权，而无需每次需要新的批准。”奎尔审核Pritam Rao，告诉解密。

在七个小时的时间里，攻击者成功排出了180多个ETH，价值约484,000美元。沙丘仪表板跟踪攻击者的钱包。

幸运的是，仅将漏洞利用与与Cardex互动的漏洞隔离开来，尽管一些用户对此提出异议。同样，根据同源，更新了卡片，从而结束了攻击。 Cygaar确认，一旦所有细节淘汰，将发布有关情况的完整报告。

“这对抽象生态系统是一个巨大的打击，” Rao告诉解密。 “ Cardex尚未确认他们的社交攻击，这是一个糟糕的举动。在这样的时候，它们应该是透明的。”

这次攻击引发了令人不舒服的问题，围绕在抽象生态系统中促进应用程序。一些抽象用户是恼火鼓励他们探索潜在的资金风险的应用程序。

“该门户网站上的所有应用合同均已审核（所有焦点都有一级公司对其进行审计），” Cygaar声称。 “在这种情况下，问题不是特定于合同的问题，但是即使到那时，我们也可以做得更好，迫使他们[运营安全]验证。”

尽管如此，一些用户向后推在此解释中，声称利用表明整个会话密钥对用户而言并不是一个安全的解决方案。摘要是围绕用户友好性构建的，并且由于这种精简功能而吸引了广泛的消费者基础。

Rao说，即使这种特殊的实施燃烧了用户，也不是答案的大责备键。

“通常，会议键很擅长，” Rao解释说。 “这仅取决于它们的管理方式。想想他们像客人的通行证 - 您不想一次又一次地批准合同进行交易，对吗？它只是使它更加方便。”

编辑安德鲁·海沃德（Andrew Hayward）