بازی “Cardex” استفاده از تخلیه های تخلیه شده در لایه های Athereum -2 چکیده – رمزگشایی

Cardex ، بازی کارت blockchain در شبکه Ethereum SetWork-2 ، طبق گفته های Network Network Core ، که منجر به ارزش بیش از ۴۷۰ ۰۰۰ دلار شد ، کلیدهای شخصی خود را حمل کرد ، از کیف پول های خود که با آن تعامل داشتند ، تخلیه شد.

Cardex نسخه های دیجیتالی توکن شده از “کارتهای خرید با کیفیت بالا” را پیشنهاد کرد ، به عنوان مثال ، اولین نشریه Shining Charizard Pokémon Card ، که می تواند برای شرکت در مسابقات آنلاین استفاده شود. هر کارت دارای ارزیابی است که با ارزیابی آن از “عملکرد” ​​محاسبه می شود و با نادر بودن آن ضرب می شود و از این تخمین ها برای تعیین اینکه چه کسی برنده مسابقات می شود ، استفاده می شود.

این بازی هفته گذشته به طور رسمی پس از یک کارت ۲۴ ساعته کارت برای کاربران دسترسی زود هنگام راه اندازی شد. در ابتدا ، روز سه شنبه ، کیف پول هایی که با یک برنامه انتزاعی در تعامل بودند ، از بودجه تخلیه شدند. Coreportors Core Core ، Cygaar و 0xbeans دریافتند که کلید خصوصی Cardex اشتباه است و به دست یک بازیگر شیطانی سقوط می کند و وی را در X (قبلاً توییتر) تأیید می کند.

با این کلید ، این حمله توانست کیف پول هایی را که یک “جلسه” فعال با بازی داشت ، تخلیه کند. به نظر می رسد که هنگام بازتولید CARDEX ، کاربران پیشنهاد شده اند معامله ای به نام جلسه را امضا کنند که برنامه را برای مدت معینی کنترل کامل بر محصولات کیف پول می دهد – در این حالت ، در این حالت ، طبق یک توسعه دهنده ، WHO ، چه کسی ، چه کسی ، چه کسی است ، چه کسی ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است چه کسی ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، چه کسی است ، من با چه کسی صحبت کردم رمزگشاییمزرعه

“Preetam Rao” گفت: “این جلسه عمدتا به مجوز موقت اشاره دارد ، که به یک قرارداد معنوی (یا DAPP) اجازه می دهد معاملات را از طرف کاربر انجام دهد بدون اینکه هر بار به مجوزهای جدید نیاز داشته باشد.” رمزگشایی

در طی هفت ساعت ، مهاجم با موفقیت بیش از ۱۸۰ ETH ، به مبلغ حدود ۴۸۴،۰۰۰ دلار ، طبق گفته داشبورد Dune که نظارت بر کیف پول مهاجم را بر عهده داشت ، از بین رفت.

خوشبختانه ، بهره برداری فقط برای کسانی که با Cardex در تعامل بودند ، جدا شد ، بنابراین بیشتر شبکه ایمن باقی مانده است ، اگرچه برخی از کاربران این موضوع را مورد اختلاف قرار دادند. به طور مساوی ، طبق گفته Cygaar ، توسط Cardex به روز شد ، که پایان حمله را به پایان رساند. Cygaar تأیید کرد که گزارش کامل در مورد اوضاع پس از صاف شدن تمام جزئیات منتشر می شود.

رائو گفت: “این یک ضربه بزرگ برای اکوسیستم انتزاعی است.” رمزگشاییاین زمینه “Cardex هنوز حمله شبکه های اجتماعی آنها را تأیید نکرده است ، که این یک گام بد است. آنها باید در چنین زمانی شفاف باشند. “

این حمله سؤالات ناراحت کننده ای را مطرح کرد که در مورد اینکه کدام برنامه ها در یک اکوسیستم انتزاعی حرکت می کنند. برخی از کاربران انتزاعی اذیت می شوند که به آنها توصیه می شود برنامه هایی را که به طور بالقوه در معرض خطر بودجه خود هستند ، مطالعه کنند.

Cygaar گفت: “تمام قراردادهای برنامه در پورتال بررسی شد (هر چیزی که Anhate مورد توجه قرار دهد دارای ردیف ۱ است که آن را بررسی می کند).” وی گفت: “مشکل در این مورد یک قرارداد خاص نبود ، اما حتی در این صورت ما می توانستیم بهترین کار را انجام دهیم و آنها را مجبور به داشتن خودشان کنیم [operational security] بررسی شده “

با این وجود ، برخی از کاربران این توضیحات را برگرداندند و ادعا کردند که بهره برداری نشان می دهد که کلیدهای جلسات به طور کلی یک راه حل ایمن برای کاربران نیستند. چکیده در اطراف راحتی کاربر ساخته شده و به دلیل عملکردهای سفارش داده شده مانند این ، یک پایگاه مصرف کننده گسترده را به خود جلب کرده است.

با این حال ، رائو گفت که کلیدهای جلسات به طور کلی پاسخی ندارند ، حتی اگر این اجرای خاص کاربران را سوزاند.

رائو توضیح داد: “به طور معمول ، کلیدهای جلسه خوب هستند.” وی گفت: “این فقط به نحوه کنترل آنها بستگی دارد. در مورد آنها به عنوان گذرگاه مهمان فکر کنید – شما نمی خواهید دوباره و دوباره قرارداد را در معامله کامپوزیت تأیید کنید ، درست است؟ این فقط آن را راحت تر می کند. “

ویرایش شده توسط اندرو هات وودا