Cardex Cüzdanları Boşaltıldı!
Blockchain tabanlı kart oyunu Cardex’in güvenlik açığı nedeniyle Ethereum Layer-2 ağı Abstract’ta yaklaşık 500 bin dolar değerinde varlık kullanıcı cüzdanlarından çekildi.
Cardex Güvenlik Açığı ve Çalınan Fonlar Ethereum Layer-2 ağı Abstract üzerinde çalışan ve tokenize edilmiş ticaret kartları sunan blockchain oyunu Cardex, büyük bir güvenlik açığıyla gündeme geldi. Cardex’in özel anahtarlarını yanlış yönetmesi sonucu kötü niyetli bir saldırgan, yaklaşık $470,000 değerinde Ethereum (ETH) çaldı.
Oyun, 1. baskı Shining Charizard gibi yüksek değerli ticaret kartlarının tokenleştirilmiş dijital versiyonlarını sunuyor ve bu kartlarla çevrimiçi turnuvalar düzenleniyordu. Kullanıcıların, oyun içindeki etkileşimleri için cüzdanlarına belirli bir süre boyunca erişim izni veren bir “oturum” başlatmaları gerekiyordu. Bu oturum, saldırganın kontrolüne geçtiğinde kullanıcı fonları hızla boşaltıldı.
Saldırının Kaynağı ve Etkileri Saldırı, oyunun resmi olarak piyasaya sürülmesinden kısa bir süre sonra, erken erişim kullanıcıları için gerçekleştirilen 24 saatlik ön satışın ardından yaşandı. Pseudonymous Abstract core contributor’ları Cygaar ve 0xBeans, saldırının Cardex özel anahtarlarının kötü niyetli kişilerin eline geçmesiyle mümkün olduğunu açıkladı. Saldırı, yalnızca Cardex ile etkileşime giren cüzdanları etkilediği için Abstract ağının geri kalanı güvende kaldı.
Nasıl Gerçekleşti? Blockchain güvenlik firması Quill Audits’in CEO’su Preetam Rao, saldırının mekanizmasını şu şekilde açıkladı: Kullanıcılar, oyunu oynarken belirli işlemler için akıllı kontrata geçici yetki veren bir işlem imzalıyorlardı. Bu işlem, oyunun kullanıcı adına işlem gerçekleştirmesine olanak tanıyordu. Ancak Cardex’in özel anahtarlarının ele geçirilmesiyle birlikte saldırgan, bu oturumları kullanarak yedi saat içinde 180 ETH çalmayı başardı.
Güvenlik Açığının Giderilmesi ve Kullanıcı Tepkileri Cygaar’ın açıklamasına göre Cardex güncellendi ve saldırının devam etmesi önlendi. Ancak olayın ardından birçok kullanıcı, Abstract ekosisteminde yer alan uygulamaların güvenliği konusunda soru işaretleri olduğunu dile getirdi. Kullanıcılar, platform tarafından tanıtılan uygulamalara güvenerek fonlarını kaybettiklerini belirtti.
Quill Audits CEO’su Rao, sorunun doğrudan “oturum anahtarları” (session keys) ile ilgili olmadığını, ancak kötü yönetildiğinde kullanıcılar için ciddi riskler doğurabileceğini belirtti. Rao’ya göre, oturum anahtarları “konuk geçişleri” gibi düşünülebilir ve doğru yönetildiğinde kullanıcı deneyimini geliştirebilir.
Cardex ve Abstract İçin Güvenlik Önlemleri Gerekli Cardex, saldırının ardından henüz resmi bir açıklama yapmazken, güvenlik uzmanları blockchain tabanlı uygulamaların özel anahtar yönetimi konusunda daha şeffaf ve güvenilir olması gerektiğini vurguluyor. Ayrıca, Abstract platformundaki diğer uygulamaların da güvenlik denetimlerinin daha sıkı yapılması gerektiği belirtiliyor.
Bu olay, kripto oyunlarının güvenlik protokollerinin ne kadar kritik olduğunu bir kez daha gösterdi. Kullanıcıların, etkileşime girdikleri blockchain tabanlı uygulamalarla ilgili güvenlik detaylarını dikkatle incelemeleri gerekiyor.
