“ cardex”遊戲利用以太坊2層摘要上的排水錢包

卡片，一個區塊鏈交易卡遊戲以太坊第2層網絡抽象的根據 摘要網絡核心貢獻者的說法，，私鑰不當，導致價值超過47萬美元的以太坊從與之互動的錢包中排出。

卡片提供了“高端交易卡”的令牌化數字版本，就像第 一版Shining CharizardPokémonCars一樣，然後可以用來參加在線錦標賽。 每張卡的分數由其“性能”評級計算出來，並乘以其稀有性，這些分數用於確定誰將贏得比賽。

遊戲正式啟動上星期在為早期訪問用戶提供24小時的預售後。 星期二初，與抽象應用相互作用的錢包開始被資金排出。 假名抽象核心貢獻者同源0xbeans弄清楚了cardex私鑰是不幸，落入惡意演員的手中，將其確認在X（以前為Twitter）上。

使用此鑰匙，攻擊者能夠消耗與遊戲有活躍的“會話”的錢包 。 看來，當PlayExEx時，提示用戶簽署交易，稱為會議，這將使應用程序在一段時間內完全控制錢包的資金- 一個月在這種情況下，根據一位開發人員誰與之交談解密.

“課程基本上是指允許智能合約（或DAPP）代表用戶執行交易的 臨時授權，而無需每次需要新的批准。”奎爾審核Pritam Rao，告訴解密。

在七個小時的時間裡，攻擊者成功排出了180多個ETH， 價值約484,000美元。 沙丘儀表板跟踪攻擊者的錢包。

幸運的是，僅將漏洞利用與與Cardex互動的漏洞隔離開來， 儘管一些用戶對此提出異議。 同樣，根據同源，更新了卡片，從而結束了攻擊。 Cygaar確認，一旦所有細節淘汰，將發布有關情況的完整報告。

“這對抽像生態系統是一個巨大的打擊，” Rao告訴解密。 “ Cardex尚未確認他們的社交攻擊，這是一個糟糕的舉動。在這樣的時候，它們應該是透明的。”

這次攻擊引發了令人不舒服的問題，圍繞在抽像生態系統中 促進應用程序。 一些抽像用戶是惱火鼓勵他們探索潛在的資金風險的應用程序。

“該門戶網站上的所有應用合同均已審核（所有焦點都有一級 公司對其進行審計），” Cygaar聲稱。 “在這種情況下，問題不是特定於合同的問題，但是即使到那時，我們也可以做得更好，迫使他們[運營安全]驗證。”

儘管如此，一些用戶向後推在此解釋中，聲稱利用表明整個會話 密鑰對用戶而言並不是一個安全的解決方案。 摘要是圍繞用戶友好性構建的，並且由於這種精簡功能而吸引了廣泛的消費者基礎。

Rao說，即使這種特殊的實施燃燒了用戶，也不是答案的大 責備鍵。

“通常，會議鍵很擅長，” Rao解釋說。 “這僅取決於它們的管理方式。想想他們像客人的通行證 - 您不想一次又一次地批准合同進行交易，對嗎？它只是使它更加方便。”

編輯安德魯·海沃德（Andrew Hayward）