Changelog

Twee community-veranderingen landen samen. (1) Het dagelijkse inloggen deelt geen gratis pakjes meer uit volgens een vlak schema — het kent nu pakjefragmenten toe elke dag in een cyclus [3,3,3,5,5,5,8], en een opeenvolgende week voltooien geeft een oplopende pakjebonus (1 → 2 → 3 → 4, plafond 4). Mis je een dag, dan valt de reeks terug naar nul — maak de week af om die ankerbeloning op te halen. (2) Nieuwe sectie in het Profiel-tabblad om codes in te wisselen (bv. WELCOME-2026, partnercodes, creator-giveaways). Codes kunnen elke combinatie van pakjes, fragmenten en zeldzaamheid-stukken bevatten; de admin maakt ze aan via het nieuwe tabblad Codes in het beheerderspaneel, met optionele gebruikslimieten en vervaldatums.

Tot vandaag was het interfacechroom gelokaliseerd maar de kaartinhoud bleef Engels: namen, flavor-regels, vaardigheidsnamen en -beschrijvingen verschenen in het Engels ongeacht de gekozen taal. We hebben alle 113 kaarten vertaald naar Spaans (Spanje + LATAM-fallback), Frans, Italiaans, Duits, Portugees (BR + PT-fallback), Pools, Nederlands, Russisch en Turks — dat is de canonieke naam plus flavor, plus actieve en passieve vaardigheidsnamen en -beschrijvingen waar aanwezig. De Engelse server-payload blijft gezaghebbend voor de database; wat je op het scherm ziet, wordt aan de clientzijde overgelegd op basis van je taal, dus een kaartidentiteit blijft gelijk bij taalwissels en trades. Mist er een vertaling voor een veld van een kaart, dan valt die terug op de Engelse tekst — nooit op een leegte.

Spelersfeedback na de lancering van Mass Dissolve: het changelog zei "tot 50 per batch" maar een speler met slechts 21 kopieën van een kaart liep tegen een plafond van 20 op en dacht dat er iets stuk was. Niets was stuk — de server forceert "houd ten minste 1 kopie van elke kaart", dus een stapel van 21 kopieën topt af op 20 in één keer. Het plafond was altijd min(server-max 50, in-aanmerking-komende kopieën, totaalkopieën − 1); het was alleen onzichtbaar. Nu zegt het label van de instapknop precies wat je batch-plafond is in de vorm "max N van M in aanmerking", en een hover-tooltip legt de bindende beperking uit (server-cap, geschiktheid of houd-1). De header van het selectiepaneel herhaalt de beperking zodat je nooit hoeft te raden.

Verzamelaars, deze is voor jullie. Gewone kopieën één voor één ontbinden brandde het per-gebruiker rate-limit-venster op — een speler met 80 commons van één kaart kon dat realistisch niet in één sessie wegwerken. Het kaartdetailscherm toont nu een "Mass Dissolve..."-knop onder de bestaande per-kopie Dissolve, die verschijnt zodra je minstens 2 in-aanmerking-komende kopieën hebt van de kaart die je bekijkt. Klik, kies welke print-nummers te vernietigen uit een tegelraster (vergrendelde / in-deck / in-actieve-trade kopieën zijn gedimd en uitgeschakeld), en de hele batch gaat door met één bevestiging + één rate-limit-slot. Server-cap is 50 per call zodat het antwoord altijd vlot is. De beloningsvoorbeeld toont je exact de fragmenten + zeldzaamheid-stukken die je krijgt voordat je op Vernietig alles drukt.

Twee kleine maar zichtbare gemakswinsten. In het tabblad Collectie kreeg het beschikbaarheidsmenu een optie "Binnenkort uit roulatie" die het raster filtert op kaarten die binnen 30 dagen verlopen — dezelfde drempel als het badge dat al een tijd op die kaarten verscheen, zodat filter en badge altijd overeenkomen. In het tabblad Toernooi tonen gilde-toernooien hun standenpaneel nu aan elke bezoeker — niet alleen aan ingeschreven deelnemers. Eerder opende je een gilde-toernooi en zag je deelnemers maar geen schema tenzij je gilde was geregistreerd. Nu wordt het publieke standenpaneel voor iedereen weergegeven en leest het dezelfde gegevens die de server al teruggaf — zo zie je wie aan kop ligt zonder je eerst te hoeven registreren.

Het laatste gebied van de vijandige review-sweep van 14 gebieden — build-pipelines en CI-gates. De meeste wijzigingen zijn onzichtbaar voor spelers (ze leven in `.github/workflows/` en `scripts/`) maar schuiven kwaliteit van "alleen lokaal met --no-verify bypass" naar "blokkeert de merge op elke PR". De volledige vitest-suite (~2700 tests), TypeScript-typecheck, Drizzle-drift-gate, i18n-sleutelpariteit, BullMQ-pin, battle-config-validatie en bare-db-execute-baseline draaien nu allemaal in CI op elke PR. Productie-CVE-scanning kreeg een uitzonderingsbewuste gate die middelmatige kwetsbaarheden blootlegt (de vorige drempel zweeg er zes). De IAB Global Vendor List die de cookie-consent-banner gebruikt, ververst nu dagelijks via een geplande workflow die een PR opent wanneer de vendor-lijst verandert. Twee overgeslagen tests in de battle-suite dragen gevolgde referenties (T-201, T-202) en een nieuwe invariant-gate laat de build falen op elke toekomstige niet-getagde skip zodat dode code zich niet ophoopt.

Een doorgang door de observability- en audit-pipeline dichtte de kloof tussen wat de privacypolicy zegt en wat de server eigenlijk doet. Voor spelers is visueel niets veranderd, maar een paar dingen werden eronder beter: het Node.js-proces logt en telt nu niet-afgevangen fouten in plaats van stilletjes te crashen en het platform het zonder uitleg opnieuw te laten starten; de audit_log-tabel wordt nu dagelijks gesnoeid door een cronjob die het 90-dagen-retentievenster afdwingt dat de privacypolicy belooft; weergavenamen van spelers worden nu uit server-logregels geredigeerd (Overweging 30 van de AVG behandelt weergavenamen als persoonsgegevens); en de security-event-audit-pipeline kreeg duurzaamheidschecks en herkomst per IP-hash per actie, zodat een regelgever-inspectie elke accountactie kan reconstrueren met tijdstempel, actor en oorsprong.

Een ronde door het juridische en consent-oppervlak heeft een lange lijst compliance-gaten gesloten. Headlines: de IAB TCF v2.3-consentstring is nu het officiële bit-packed formaat dat de @iabtechlabtcf/*-libraries produceren in plaats van een base64(JSON)-shim — Google AdSense's parser weigerde onze shim sinds de deadline van 2026-03-01, waardoor EU-bezoekers stilletjes naar Limited Ads zakten. Elke keuze in de cookie-banner (Alles accepteren / Alles weigeren / Aanpassen / intrekking / version-bump-prompt / heropening) schrijft nu een duurzame audit_log-rij zodat we toestemming kunnen aantonen onder een Art.7(1)-AVG-onderzoek. De 16+-leeftijdsbevestiging en ToS-acceptatie bij aanmelding worden nu serverside afgedwongen via Better Auth additional fields — de oude client-only checkbox was te omzeilen met curl. Het privacybeleid noemt nu de echte derde partijen (Arsys voor hosting + Google AdSense voor advertenties) in plaats van placeholder-tekst — Postgres en Redis draaien op door de operator beheerde Arsys-infrastructuur en zijn geen aparte verwerkers. Accountverwijdering wist nu een veel bredere set tabellen met persoonsgegevens (vriendschappen, gildelidmaatschap, toernooi-inschrijvingen, tickets, ad-watch-geschiedenis, provably-fair-seeds, verificatie-tokens en nog een paar), gebruikt een crypto-random pseudoniem-suffix dat de eerdere koppelbaarheid met audit_log breekt, weigert een verwijderverzoek opnieuw aan te maken voor een al volledig verwijderd account, en begrenst cron-retries zodat een tijdelijke storing niet eindeloos in een loop blijft. Het data-export-artefact kreeg er zes nieuwe secties bij (gildelidmaatschap, toernooien, vriendschappen, supporttickets, ad-watch-geschiedenis, provably-fair-seedgeschiedenis) en regelplafonds per sectie zodat een power user de export-build niet in OOM kan jagen. De consent-banner is nu een echte modale dialoog met focus trap en aria-modal, de taalwisselaar is op elk breakpoint zichtbaar (was verstopt op mobiel), en admin-bans leveren nu een Statement of Reasons onder DSA Art.17 via in-app-melding met de geschonden regel en een beroepsroute. Plus: een verse IAB Global Vendor List meegebundeld en een dagelijks refresh-script zodat wijzigingen in vendor-scope niet wegdrijven, AdSense-first-party-cookies worden nu echt verwijderd bij intrekking van toestemming (voorheen werd alleen de script-tag ontkoppeld), en een nieuwe CSRF-token-gate op de account-verwijder- en data-export-endpoints zodat een aanvallerspagina met vervalst formulier geen verwijderingsteller voor een ingelogde bezoeker kan starten. Consent-versie van 3.1 naar 3.2 opgehoogd — elke bezoeker ziet de cookie-banner eenmalig bij het volgende bezoek om opnieuw te bevestigen onder de bijgewerkte verwerkerslijst.

A pass through the bilingual surface closed every visible English-only chrome remnant on Spanish pages and tightened a few middleware + SEO gaps. Headline items: the marketing nav (About / How to Play / Cards / FAQ / Contact / Updates / Log in / Play for Free), every legal-page header link, the global cookie-consent banner, the offline banner, and the language-switcher screen-reader label all read from the active-locale message bundle now — Spanish visitors no longer see English wrappers around Spanish copy. The language switcher is also visible on phones (was hidden under the sm: breakpoint), so a visitor landing on the wrong locale on mobile can finally jump in-page. Changelog dates are stored as ISO YYYY-MM-DD and rendered through Intl.DateTimeFormat per locale — Spanish visitors see "26 de abril de 2026" / English visitors see "April 26, 2026". Email addresses across the legal + contact surface have been unified to a single canonical contact@drawntcg.com so visitors don't have to guess between info / privacy / support inboxes. A new /robots.txt now points crawlers at the per-locale sitemap, and link-preview crawlers (Slack, Discord, iMessage, Twitter) get an Open Graph card with the right locale tag. A subtle middleware bug that made the <html lang="…"> attribute always say "es" on /en/* pages — silently breaking screen-reader locale routing and Google's hreflang verification — has been fixed.

A pass through the anticheat surface (provably-fair seeds, replay sanitization, spectator state, collusion-detection telemetry) closed a small list of subtle but real defects. Headline items: pack-opening seed rotation is now atomic against in-flight pack opens, so a verifier replay can never reproduce N−1 of N openings while the Nth orphan dangles unverifiable; replay history scrubs raw player ids out of turn-log strings before persistence so the publishable replay file truly cannot be cross-correlated by id; spectator state strips two alpha-strategy hints (adrenaline counters and per-turn summon counts) that pre-fix flowed through unmasked; provably-fair seed rotations and client-seed changes are now durably audited so a player dispute has a recoverable trail; the history endpoint no longer 500s on garbage page params and no longer leaks raw Postgres errors to clients.

A pass through tournaments, guilds, the profile sections, and the in-battle internals fixed a long list of small bugs and added the visible affordances that were missing. Headline items: viewing a stranger's profile now tells you why bio / display case / achievements are hidden ("add as friend to see more") instead of rendering blank sections; achievement toasts auto-dismiss after 6 seconds (and cap at 5 visible at once) instead of stacking forever; every in-battle action — summon, attack, ability, mulligan, end turn, forfeit — now has a 5-second "no response from server" safety net so a flaky socket can't leave the UI stuck pending; the forfeit button uses an in-app modal instead of the browser's native confirm() popup that iOS PWAs sometimes silently suppress; the tournament bracket marks forfeit / disconnect / bye matches with a small badge so admins and spectators can tell them apart from real wins; deck-builder save validates the 3-copies-per-card limit client-side before letting you press Save; and a list of guild-management quality-of-life polish items (kick / promote confirmation, donation amount cap, war-end refresh filtering, identical-message dedupe).

A pass through the in-battle screen, the deck builder, and the card / trade modals fixed a long list of small but visible bugs. The headline items: spectators were seeing the battle mirrored to the wrong side (their view labelled the opponent as "you"), the mulligan timer reset to 30 every time anything happened on the board, the queue size showed blank when joining casual matchmaking, and trade history's wishlist 🎯 markers showed the wrong player's wishlist. The card modal now cancels in-flight fetches when you flip through a gallery, the deck builder caps how many pages it loads (so a server hiccup can't lock the screen), and copying a deck export now actually tells you whether it worked.

When you summon a creature, attack, or end your turn, the client now waits up to 5 seconds for the server to confirm. If the confirmation never arrives — server hiccup, network drop, dropped packet — you get a clear "No response from server — check your connection" message instead of a button that just stops responding. If the server rejects the action (out of phase, illegal target, rate-limited, etc.) the rejection reason now reaches you immediately even on flaky connections, instead of riding the next state push and arriving seconds late. The other (less critical) actions are unchanged. Spanish and English locales also got `not-found` and `loading` pages so a stale link or a slow load lands on a localised page instead of the framework default.

The bilingual public surface is now wired up for search engines. Every Spanish and English page emits a `<link rel="canonical">` pointing at its own locale URL plus an `<link rel="alternate" hreflang>` map covering both locales and an `x-default` fallback, so Google can pair the /es and /en variants of the same page instead of treating them as duplicates. A new `/sitemap.xml` enumerates every Phase 1 public page in every locale with the same hreflang alternates per entry. With this release Phase 1 of the i18n project is fully closed: 4 legal pages bilingual, 7 marketing pages bilingual, controlling-version clauses live in both languages, locale switcher in both headers, hreflang plumbing in metadata and sitemap, and a written workflow template for any future page.

A big batch of player-facing work landed across the spring. The headline items: a public marketing surface for new visitors, a card mastery system that rewards loyalty to specific cards, a tournament bracket viewer that finally lets you see how a tournament is unfolding, and a long list of small UX fixes that close gaps players have been pointing out for months. Below is the rough shape of what changed, organised by area. Patch notes for individual cards and balance tweaks live in the in-game patch feed; this changelog covers the structural and surface-level stuff.

Six more marketing pages are now bilingual, closing out Phase 1 of the marketing translation effort. /es/about renders the team / vision / game-world write-up in Spanish. /es/contact translates every channel. /es/faq covers all 12 Q&A items. /es/how-to-play translates the 10-minute rundown. /es/showcase renders the curated 7-card showcase with bilingual card names + flavor blurbs. /es/changelog (this page) is now bilingual too — every ChangelogEntry carries both Spanish and English copy together in the source so future updates land in both locales atomically. The four legal pages shipped bilingual earlier this month, so the public surface is now fully bilingual end-to-end.

The homepage hero is now bilingual. Spanish-speaking visitors landing on /es see the full marketing pitch in Spanish — anti-pay-to-win positioning, daily-free-packs promise, multi-pace modes (casual, ranked, AI, just collecting), element chips, and the 'built among friends' footer — all in informal tú voice. English visitors keep the original wording at /en. This is the first marketing page to land in two languages; the rest are queued up next.

The Privacy Policy is now bilingual, closing out Phase 1 of the legal-page localization effort. Spanish-speaking visitors land on a fully translated /es/legal/privacy, English visitors keep the original wording at /en/legal/privacy. With this release, all four legal pages — Terms of Service, Cookie Policy, Legal Notice, and Privacy Policy — ship in both English and Spanish, each carrying the controlling-version notice that names the English text as the legally authoritative version. Phase 1 legal coverage is now fully complete.

The Terms of Service page is now bilingual. Spanish-speaking visitors land on a fully translated /es/legal/terms, English visitors keep the original wording at /en/legal/terms. Both versions carry the same controlling-version notice at the top, making clear that the English text remains the legally authoritative version and the Spanish translation is provided for convenience. Three of four legal pages — Terms, Cookies, and Legal Notice — now ship in both languages; Privacy is the next page in line.

The Cookie Policy and Legal Notice pages are now bilingual. Spanish-speaking visitors land on fully translated /es/legal/cookies and /es/legal/notice, English visitors keep the original wording at /en/legal/cookies and /en/legal/notice. All four pages carry a controlling-version notice at the top making clear that the English text is the legally authoritative version and the Spanish translation is provided for convenience. Terms and privacy will follow the same pattern in upcoming releases.