Juego de Cartas NFT Cardex Pierde $470.000 por Fallo en Gestión de Claves: Reporte

Cardex, un juego de cartas coleccionables en blockchain en la red de capa 2 de Ethereum Abstract, gestionó incorrectamente sus claves privadas, según los contribuyentes principales de la red Abstract, lo que provocó que más de $470.000 en Ethereum fueran drenados de las carteras que interactuaron con él.

Cardex ofrecía versiones digitales tokenizadas de “cartas coleccionables de alta gama”, como una carta Pokémon Shining Charizard de 1.ª edición, que luego podían usarse para competir en torneos en línea. Cada carta tiene una puntuación calculada por su calificación de “rendimiento” multiplicada por su rareza, utilizándose estas puntuaciones para determinar quién ganaría un torneo.

El juego se lanzó oficialmente la semana pasada, después de una preventa de cartas de 24 horas para usuarios con acceso anticipado. El martes temprano, las carteras que habían interactuado con la aplicación Abstract comenzaron a ser vaciadas de fondos. Los contribuyentes principales pseudónimos de Abstract, Cygaar y 0xBeans, descubrieron que la clave privada de Cardex había sido mal gestionada, cayendo en manos de un actor malicioso, confirmándolo en X (anteriormente Twitter).

Con esta clave, el atacante pudo drenar carteras que tenían una “sesión” activa con el juego. Parece que al jugar Cardex, se solicitaba a los usuarios firmar una transacción, denominada "sesión", que otorgaría a la aplicación control total sobre los fondos de la cartera durante un período de tiempo—supuestamente un mes, en este caso, según un desarrollador que habló con Decrypt.

“La "sesión" básicamente se refiere a una autorización temporal que permite a un contrato inteligente (o dapp) ejecutar transacciones en nombre del usuario sin requerir nuevas aprobaciones cada vez”, dijo a Decrypt Preetam Rao, CEO de la firma de seguridad Quill Audits.

Durante siete horas, el atacante drenó con éxito más de 180 ETH, aproximadamente $484.000, según un panel de Dune que rastrea la cartera del atacante.

Los Robos de Criptomonedas Superaron los $3.000 Millones en 2024: Peckshield

El ecosistema cripto enfrentó pérdidas de $3.000 millones debido a hackeos y estafas en 2024, marcando un incremento del 15% desde los $2.610 millones en 2023, según la firma de seguridad blockchain Peckshield. Los hackeos representaron $2.150 millones —o más del 70%— de las pérdidas totales, un incremento del 42,38% desde los $1.510 millones en 2023, mientras que las estafas contribuyeron con $834,5 millones, según el informe anual de la firma de seguridad. Fue más difícil recuperar fondos roba...

Afortunadamente, el exploit se limitó solo a aquellos que habían interactuado con Cardex, por lo que gran parte de la red permaneció segura—aunque algunos usuarios disputan esto. Igualmente, según Cygaar, Cardex fue actualizado, lo que puso fin al ataque. Cygaar confirmó que se publicará un informe completo de la situación una vez que se concreten todos los detalles.

“Esto es un gran golpe para el ecosistema cripto de Abstract”, dijo Rao a Decrypt. “Cardex todavía no ha confirmado el ataque desde sus redes sociales, lo cual es una mala decisión. “Deberían ser transparentes en un momento como este”.

El ataque ha planteado incómodas preguntas sobre qué aplicaciones se promocionan dentro del ecosistema Abstract. Algunos usuarios de Abstract están molestos porque se les animó a explorar aplicaciones que potencialmente han puesto sus fondos en riesgo.

Hamster Kombat (HMSTR) Registra Mínimo Histórico Tras Relanzamiento del Juego en Telegram

Meses después de su previsto debut de la segunda temporada, el exitoso juego en Telegram Hamster Kombat finalmente está de vuelta en acción con una nueva experiencia de juego, pero su token solo siguió cayendo tras la noticia, alcanzando un nuevo mínimo histórico. HMSTR, que funciona en The Open Network (TON), cayó hasta $0,001461 el martes, según datos de CoinGecko, marcando su precio más bajo hasta la fecha. Subiendo ligeramente a un precio actual de $0,0015, HMSTR ha bajado casi un 7% en el d...

“Todos los contratos de aplicaciones en el portal han sido auditados (cualquier cosa destacada ha sido auditada por una firma de primer nivel)”, afirmó Cygaar. “El problema en este caso no fue específico del contrato, pero incluso así podríamos haber hecho un mejor trabajo obligándolos a verificar su seguridad operacional”.

Sin embargo, algunos usuarios han rechazado esta explicación, alegando que el exploit muestra que las claves de sesión en general no son una solución segura para los usuarios. Abstract fue construido en torno a la facilidad de uso y atraer una amplia base de consumidores gracias a características simplificadas como esta.

Rao dijo que culpar ampliamente a las claves de sesión no es la respuesta, sin embargo, incluso si esta implementación particular perjudicó a los usuarios.

“Generalmente, es bueno tener claves de sesión”, explicó Rao. “Solo depende de cómo se gestionen. Piensa en ellas como pases de invitado—no querrías dar aprobación a un contrato una y otra vez para una transacción de intercambio, ¿verdad? Simplemente, lo hace más conveniente”.

Editado por Andrew Hayward