币币情报道:
一款名为“Cardex”的区块链交易卡游戏,因在以太坊第2层网络“Abstract”上存在私钥管理不当的问题,导致价值超过47万美元的以太坊从与其交互的钱包中被盗。
“Cardex”提供了一种“高端交易卡”的数字化代币版本,类似于第一版Shining Charizard Pokémon卡片。这些数字卡可以用于参加在线锦标赛。每张卡的分数由其“性能”评级与稀有性相乘得出,最终决定比赛胜负。
该游戏于上周正式上线,在为早期访问用户提供24小时预售后启动。然而,本周二初,与Abstract应用交互的钱包开始出现资金流失的情况。匿名的Abstract核心贡献者0xbeans(同源)发现,“Cardex”的私钥不幸落入了恶意攻击者的手中,并在X(原Twitter)上确认了这一事件。
利用该私钥,攻击者能够消耗与游戏有活跃“会话”的钱包资金。当用户与Cardex互动时,系统会提示他们签署一项交易(称为“会话”),从而授予应用程序在一定时间内(在这种情况下为一个月)对钱包资金的完全控制权。一位开发者向Decrypt透露了这一细节。
“会话本质上是一种临时授权机制,允许智能合约或去中心化应用(DApp)代表用户执行交易,而无需每次重新获得批准。”奎尔审核(QuillAudits)的Pritam Rao告诉Decrypt。
在短短七个小时内,攻击者成功转移了超过180个ETH,价值约48.4万美元。沙丘仪表板显示了攻击者钱包的资金流动情况。
幸运的是,漏洞仅限于与Cardex交互的钱包,尽管一些用户对此表示异议。根据同源的说法,Cardex已更新以阻止攻击。Cygaar确认,一旦所有细节清晰,将发布一份完整的事件报告。
“这对Abstract生态系统来说是一个巨大的打击。”Rao告诉Decrypt。“Cardex尚未公开确认其社交攻击,这是一个糟糕的举动。在这样的时刻,透明度至关重要。”
此次攻击引发了关于Abstract生态系统中应用程序安全性的质疑。一些Abstract用户对鼓励他们探索潜在高风险应用的行为表示不满。
“该门户网站上的所有应用合同都经过了审计(均由顶级公司完成审计),”Cygaar声称。“在这种情况下,问题并非特定于合同本身,但即便如此,我们也可以做得更好,强制进行运营安全验证。”
尽管如此,一些用户对这种解释提出异议,认为此次事件表明会话密钥对用户而言并非一个安全的解决方案。Abstract以其用户友好性为核心,吸引了广泛的消费者基础。
Rao表示,即使这次实施伤害了用户,也不应完全否定会话密钥的作用。
“通常来说,会话密钥是很有用的,”Rao解释道。“这取决于它们的管理方式。可以把它们想象成客人的通行证——您不会希望每次都重新批准合同进行交易,对吗?它只是让事情更加方便。”
编辑:安德鲁·海沃德(Andrew Hayward)
快讯