Tiếng Việt
English
Cardex – Trò chơi triệu đô nhanh chóng trở thành thảm họa bảo mật
Cardex là một trò chơi giao dịch thẻ bài kỹ thuật số được phát triển trên mạng Ethereum Layer-2 Abstract. Trò chơi này cho phép người chơi thu thập và sở hữu các thẻ bài phiên bản giới hạn, thậm chí là những thẻ bài giá trị cao như 1st Edition Shining Charizard của Pokémon. Với hệ thống tính điểm dựa trên hiệu suất và độ hiếm, người chơi có thể sử dụng bộ sưu tập của mình để cạnh tranh trong các giải đấu trực tuyến.
Với ý tưởng độc đáo, Cardex nhanh chóng thu hút sự quan tâm từ cộng đồng blockchain. Trò chơi đã mở bán thẻ bài sớm trong 24 giờ trước khi chính thức ra mắt. Tuy nhiên, chỉ vài ngày sau khi đi vào hoạt động, hàng loạt ví tiền liên kết với Cardex bất ngờ bị rút cạn, khiến cộng đồng hoảng loạn.
Hacker đã tấn công Cardex như thế nào?
Sau khi sự cố xảy ra, các nhà phát triển của Abstract, bao gồm Cygaar và 0xBeans đã vào cuộc điều tra. Họ phát hiện ra rằng khóa riêng tư (private key) của Cardex đã bị lộ, tạo cơ hội cho hacker chiếm quyền kiểm soát và thực hiện giao dịch trái phép từ các ví của người chơi.
🚨 HACK ALERT 🚨
— Atoms Research (@atoms_res) February 18, 2025
Abstract wallets are being drained right now!
There is assumption that this is because of the @cardex_space game, anyone who has interacted with this game better withdraw funds
Here is the wallet to which the funds are transferred:https://t.co/WWOJK46N9C… pic.twitter.com/0QNi0Bx28h
Tuy nhiên, nguyên nhân gốc rễ lại nằm ở cách mà Cardex thiết lập phiên hoạt động (session key) cho người chơi. Khi tham gia trò chơi, người dùng cần ký một giao dịch để thiết lập phiên hoạt động, cho phép ứng dụng thực hiện giao dịch thay mặt họ mà không cần xác nhận lại trong một khoảng thời gian nhất định.
Thông thường, thời gian của một phiên hoạt động chỉ kéo dài vài phút đến vài giờ. Nhưng trong trường hợp của Cardex, phiên hoạt động này được thiết lập lên đến một tháng, đồng nghĩa với việc ứng dụng có quyền thao túng tài sản trong ví của người chơi suốt thời gian đó. Khi khóa riêng tư của Cardex bị lộ, hacker đã lợi dụng phiên hoạt động này để rút sạch tiền từ tất cả các ví còn đang mở phiên mà không cần sự chấp thuận thêm từ chủ sở hữu.
Theo dữ liệu từ nền tảng theo dõi giao dịch blockchain Dune, chỉ trong vòng bảy giờ, hacker đã rút thành công hơn 180 ETH, tương đương 484.000 USD từ các ví của người chơi.
Mặc dù vụ tấn công chỉ ảnh hưởng đến những người dùng đã từng ký phiên hoạt động với Cardex, nhưng nó vẫn gây ra một làn sóng hoang mang trong cộng đồng. Nhiều người đặt ra câu hỏi: Liệu các ứng dụng khác trên nền tảng Abstract có thực sự an toàn?
Sau khi phát hiện sự cố, các nhà phát triển của Abstract đã nhanh chóng cập nhật hệ thống để chặn quyền truy cập của hacker, đồng thời hứa hẹn sẽ công bố một báo cáo chi tiết về vụ việc.
Early this morning, the Abstract security team detected an exploit originating from Cardex, an app within The Portal. This was not a vulnerability in the Abstract Global Wallet (AGW) or the Abstract network itself but an isolated security failure by a third-party app (Cardex).…
— Abstract (@AbstractChain) February 18, 2025
Một trong những vấn đề lớn nhất của vụ hack này không chỉ là số tiền bị mất, mà còn là việc nhiều người chơi không nhận ra rủi ro khi ký giao dịch.
Thông thường, khi kết nối ví với một ứng dụng phi tập trung (dApp), người dùng cần phê duyệt các giao dịch. Tuy nhiên, trong nhiều trường hợp, họ chỉ đơn giản bấm xác nhận mà không hiểu rõ mình đang cho phép điều gì. Điều này tạo điều kiện cho hacker lợi dụng các tính năng như phiên hoạt động kéo dài để đánh cắp tài sản mà không cần sự cho phép lại từ chủ sở hữu.
Sau vụ hack, cộng đồng blockchain đã có nhiều tranh luận về trách nhiệm trong vụ việc này. Một số người cho rằng đây là lỗi của Cardex, vì đã không bảo vệ khóa riêng tư và thiết lập thời gian phiên hoạt động quá dài. Tuy nhiên, một số chuyên gia bảo mật lại cho rằng người dùng cũng cần tự bảo vệ mình.
Vụ hack Cardex là một bài học quan trọng về bảo mật. Trong thị trường crypto, "Không ai kiểm soát tiền của bạn – trừ bạn", nhưng nếu không hiểu rõ những gì mình đang làm, bạn có thể mất tất cả chỉ trong một lần nhấp chuột.
Đọc thêm:
%20(1).jpg)
