No último golpe para o recentemente lançado Ethereum Camada 2 Blockchain, Resumo-jogo de cartão de negociação baseado CardEx sofreu uma grande exploração, levando a “aproximadamente US $ 400.000” em fundos de usuário perdidos.
Esta “falha isolada de segurança” – que foi por parte do próprio CardEx, e não uma vulnerabilidade na carteira global abstrata mais ampla ou Cadeia abstrata – resultou em muita indignação entre a comunidade, com muitos usuários alegando ter perdido milhares de dólares na saga, que duraram mais de 3 horas e 30 minutos.
Resumo Confirmaram que a exploração foi causada quando uma das equipes do CardEx “inadvertidamente expôs a chave privada para o assinante da sessão no front-end do site deles”. Resumo são agora “Trabalhando com o Seal 911 para ajudar o CardEx a remediar a situação e tornar os usuários inteiros”.
Qual foi a causa da exploração?
Em suma, a CardEx expostos sem querer a chave privada para o signatário de sessão no front-end de seu site. O atacante usou essa chave privada para iniciar transações dos contratos da CardEx para qualquer carteira que aprovou uma chave de sessão com a CardEx. Aproximadamente US $ 400.000 em ETH foram perdidos antes da fixação da exploração.
Colaborador abstrato @0xCygaar entrou em mais detalhes sobre X. ele explicou que, embora várias auditorias tenham sido concluídas em toda a tecnologia envolvida – ambos para Resumo e CardEx – Infelizmente, o exploração foi devido a “negligência pelo CardEx no código de front -end de seu aplicativo”.
Como resultado dessa exploração, @0xCygaar confirmou que, além das auditorias existentes exigidas dos aplicativos abstratos antes da listagem no portal, as equipes de terceiros agora terão que “melhorar as medidas para proteger toda a sua pilha e práticas de operações de segurança”. Isso inclui “outra rodada de revisão” para qualquer aplicativo que use as teclas de sessão, com documentação atualizada sobre as melhores práticas para seu uso.
Quanto aos próprios abstratos, eles em breve estarão “integrando as ferramentas de simulação de transação do Blobaid” na carteira abstrata global. Além disso, eles são “[exploring] Outras maneiras de tornar a criação de chaves da sessão mais segura “, incluindo” Adicionando mais lógica de validação aos atores maliciosos da lista negra “, e adicionando um” painel de chaves de sessão “ao portal, onde os usuários poderão revogar rápida e facilmente suas chaves de sessão.
O abstrato é seguro?
O Cadeia abstrata teve um começo rochoso desde sua estréia em 27 de janeiro de 2025 – e essa exploração do que parecia ser um aplicativo confiável disponível no portal abstrato levou muitos a questionar a segurança do ecossistema.
Em um Postagem em xa equipe abstrata reiterou que segue um “processo rigoroso de segurança” antes de adicionar aplicativos em potencial ao portal abstrato. Isso inclui “a um a um”, “colaboração nas melhores práticas de segurança” e “auditorias de segurança extensas obrigatórias”.
Como uma medida preventiva, Resumo recomendaram que os usuários usassem regularmente Revogar Para remover as aprovações e permissões de aplicativos não utilizados – uma prática recomendada para os usuários do Web3, independentemente da rede.
Muitos na comunidade permanecem céticos. @Poppunkonnchain solicitado para “nunca deixar essa equipe ser apresentada no portal novamente”, @ripchillpill observou que “se [this happens again]então não importa qual seja a explicação, as pessoas não se importarão ”e @Cryptossniffer acrescentou que “mais explicações serão necessárias para recuperar a confiança dos usuários”.
Resta saber se as vítimas da exploração do CardEx serão feitas inteiras ou que impacto isso poderia ter sobre ResumoO objetivo declarou se tornar “a cadeia de crypto de consumo dominante”.
COO e fundador da NFT Insider. Otimista no web3. Alma competitiva.
