Cardex, et blockchain handelskortspil på Ethereum lag-2 netværk Abstract, håndterede sine private nøgler forkert ifølge Abstract netværks kernebidragydere og resulterede i mere end $470.000 værd af Ethereum, der blev tømt fra tegnebøger, der interagerede med det.
Cardex tilbød tokeniserede digitale versioner af “højtydende handelskort,” som fx et 1. udgave Shining Charizard Pokémon-kort, som derefter kunne bruges til at deltage i online turneringer. Hvert kort har en score, der beregnes ud fra dets “præstations” rating og multipliceret med dets sjældenhed, hvor disse scorer bruges til at afgøre, hvem der ville vinde en turnering.
Spillet lancerede officielt sidste uge, efter en 24-timers kort forsalg til tidlige brugere. Tidligt tirsdag begyndte tegnebøger, der havde interageret med Abstract-appen, at blive tømt for midler. De anonyme Abstract kernebidragydere Cygaar og 0xBeans fandt ud af, at Cardex’ private nøgle var blevet håndteret forkert og endte hos en ondsindet aktør, hvilket blev bekræftet på X (tidligere Twitter).
Rapporten kommer snart, men her er et kort overblik over situationen:
– Problemet vedrører @cardex_space. Hvis du nogensinde har interageret med denne app, annuller dine sessioner her: https://t.co/lJfbG3nlZW. Dette er yderst vigtigt.
– Dette er ikke et problem med AGW’s kontrakter. Der…
– cygaar (@0xCygaar) 18. februar 2025
Med denne nøgle kunne angriberen tømme tegnebøger, der havde en aktiv “session” med spillet. Det ser ud til, at når man spillede Cardex, blev brugerne bedt om at underskrive en transaktion, kaldet en session, der ville give appen fuld kontrol over tegnebogens midler i en periode – angiveligt en måned i dette tilfælde ifølge en udvikler, som talte med Decrypt.
“Session henviser i bund og grund til en midlertidig autorisation, der tillader en smart kontrakt (eller dapp) at udføre transaktioner på brugerens vegne uden at kræve nye godkendelser hver gang,” fortalte administrerende direktør for sikkerhedsfirmaet Quill Audits, Preetam Rao, til Decrypt.
I løbet af syv timer tømte angriberen med succes over 180 ETH, svarende til ca. $484.000, ifølge et Dune-dashboard, der sporer angriberens tegnebog.
Heldigvis blev udnyttelsen isoleret til kun dem, der havde interageret med Cardex, så en stor del af netværket forblev sikkert – selvom nogle brugere bestrider dette. Ligeledes blev Cardex ifølge Cygaar opdateret, hvilket stoppede angrebet. Cygaar bekræftede, at en fuld rapport om situationen vil blive offentliggjort, når alle detaljer er på plads.
“Dette er et stort slag for abstract-økosystemet,” sagde Rao til Decrypt. “Cardex har stadig ikke bekræftet angrebet fra deres sociale medier endnu, hvilket er et dårligt træk. De bør være transparente på et tidspunkt som dette.”
Angrebet har rejst ubehagelige spørgsmål om, hvilke apps der promoveres inden for Abstract-økosystemet. Nogle Abstract-brugere er irriterede over, at de blev opfordret til at udforske apps, der potentielt har sat deres midler i fare.
“Alle app-kontrakter på portalen er blevet revideret (alt, der er fremhævet, har en tier-1 virksomhed, der reviderer det),” hævdede Cygaar. “Problemet i dette tilfælde var ikke kontrakt-specifikt, men selv da kunne vi have gjort det bedre med at tvinge dem til at få deres [operativ sikkerhed] verificeret.”
Alligevel har nogle brugere modsat sig denne forklaring og hævder, at udnyttelsen viser, at sessionsnøgler som helhed ikke er en sikker løsning for brugere. Abstract blev bygget omkring brugervenlighed og tiltrækning af en bred forbrugerbase takket være funktioner som dette.
Rao sagde, at det generelt ikke er svaret at bebrejde sessionsnøgler, selvom denne særlige implementering brændte brugere.
“Generelt er sessionsnøgler gode at have,” forklarede Rao. “Det afhænger bare af, hvordan de håndteres. Tænk på dem som gæstepas – du ville ikke ønske at give tilladelse til en kontrakt igen og igen for en bytte-transaktion, ikke? Det gør det bare mere bekvemt.”
