Cardex, un juego de cartas coleccionables de blockchain en la red de capa 2 de Ethereum Abstract, manejó mal sus claves privadas, según los contribuyentes principales de la red Abstract, lo que llevó a que se drenaran más de $470,000 dólares en Ethereum de las billeteras que interactuaron con él.

Cardex ofrecía versiones digitales tokenizadas de «cartas coleccionables de alta gama», como una carta de Pokémon Charizard Brillante de 1ª Edición, que luego podría usarse para competir en torneos en línea. Cada carta tiene una puntuación que se calcula por su calificación de «rendimiento» y se multiplica por su rareza, y estas puntuaciones se utilizan para determinar quién ganaría un torneo.

El juego se lanzó oficialmente la semana pasada, después de una preventa de tarjetas de 24 horas para los usuarios de acceso anticipado. A primera hora del martes, las carteras que habían interactuado con la aplicación Abstract comenzaron a quedarse sin fondos. Los colaboradores principales de Abstract, Cygaar y 0xBeans, se dieron cuenta de que la clave privada de Cardex había sido mal manejada, cayendo en manos de un actor malicioso, confirmándolo en X (anteriormente Twitter).

Con esta clave, el atacante pudo vaciar las billeteras que tenían una «sesión» activa con el juego. Parece que al jugar a Cardex, se les pedía a los usuarios que firmaran una transacción, denominada sesión, que le daría a la aplicación el control total sobre los fondos de la billetera durante un período de tiempo, supuestamente un mes en este caso, según un desarrollador que habló con Decrypt.

«La sesión se refiere básicamente a una autorización temporal que permite que un contrato inteligente (o dapp) ejecute transacciones en nombre del usuario sin requerir nuevas aprobaciones cada vez», dijo a Decrypt el CEO de la firma de seguridad Quill Audits, Preetam Rao.

En el transcurso de siete horas, el atacante drenó con éxito más de 180 ETH, por un valor aproximado de $484,000 dóalres, según un panel de control de Dune que rastrea la billetera del atacante.

Afortunadamente, el exploit se limitó solo a aquellos que habían interactuado con Cardex, por lo que gran parte de la red permaneció a salvo, aunque algunos usuarios lo niegan. Igualmente, según Cygaar, se actualizó el Cardex, lo que puso fin al ataque. Cygaar confirmó que se publicará un informe completo de la situación una vez que se resuelvan todos los detalles.

«Este es un gran golpe para el ecosistema abstracto», dijo Rao a Decrypt. «Cardex todavía no ha confirmado el ataque de sus redes sociales, lo cual es una mala jugada. Deberían ser transparentes en un momento como este».

El ataque ha planteado preguntas incómodas sobre qué aplicaciones se promocionan dentro del ecosistema abstracto. A algunos usuarios de Abstract les molesta que se les haya animado a explorar aplicaciones que potencialmente han puesto en riesgo sus fondos.

«Todos los contratos de aplicaciones en el portal han sido auditados (cualquier cosa destacada tiene una empresa de nivel 1 que la audita)», afirmó Cygaar. «El problema en este caso no fue específico del contrato, pero incluso entonces podríamos haber hecho un mejor trabajo obligándolos a verificar su [seguridad operativa]».

Aún así, algunos usuarios han rechazado esta explicación, afirmando que el exploit muestra que las claves de sesión en general no son una solución segura para los usuarios. Abstract se construyó en torno a la facilidad de uso y a atraer a una amplia base de consumidores gracias a funciones optimizadas como esta.

Sin embargo, Rao dijo que culpar ampliamente a las claves de sesión no es la respuesta, incluso si esta implementación en particular quemó a los usuarios.

«En general, es bueno tener teclas de sesión», explicó Rao. «Depende de cómo se gestionen. Piense en ellos como pases de invitado: no querría dar su aprobación a un contrato una y otra vez para una transacción de intercambio, ¿verdad? Simplemente lo hace más conveniente».

Pagina Original:

‘Cardex’ Game Exploit Drains Wallets on Ethereum Layer-2 Abstract