Potrivit unei noi postări a firmei de securitate blockchain SlowMist pe 7 noiembrie, acesta apare că tokenul din ultima săptămână exploatează care afectează proiectul GameFi Gala Games rezultat dintr-o scurgere publică a cheilor de securitate aplicabile pe GitHub. După cum a spus SlowMist, pNetwork, puntea de interoperabilitate cross-chain folosită de Gala Games pe BNB Smart Chain, a avut trei roluri privilegiate în contractul său inteligent pGALA.
„Rolul de administrator este folosit pentru a gestiona upgrade-urile și modificările la adresa de administrator a contractului de proxy. Rolul DEFAULT_ADMIN_ROLE este utilizat pentru a gestiona diferite roluri privilegiate în logică (de exemplu: MINTER_ROLE ), iar rolul MINTER_ROLE gestionează autoritatea de batere a simbolurilor pGALA.”
SlowMist a continuat explicând că atât rolurile DEFAULT_ADMIN_ROLE, cât și MINTER_ROLE au fost controlate de pNetwork în timpul inițializării. Între timp, contractul de administrare proxy a fost o adresă deținută extern, responsabilă de actualizarea contractului pGALA. Cu toate acestea, firma a postat o captură de ecran în care susținea că cheia privată în text simplu pentru adresa proprietarului administratorului proxy a fost expusă și vizibilă public pe GitHub. Astfel, orice utilizator cu acces la cheia privată ar fi putut manipula contractul pGALA în orice moment. Pe 28 august, proprietarul contractului de administrare proxy a fost înlocuit, făcând protocolul vulnerabil la un atac.
Token bridge-ul Gala Games a fost exploatat pe 3 noiembrie, după ce o singură adresă de portofel părea să fi bătut peste 2 miliarde de dolari în GALA (GALA) jetoane din aer și a aruncat jetoanele pe schimbul descentralizat PancakeSwap. Aproximativ 12,977 BNB (BNB), în valoare de 4.5 milioane USD, a fost scurs din fondul de lichiditate.
Schimbul de criptomonede Huobi a susținut că activitățile menționate mai sus erau o schemă de profit orchestrată de pNetwork. Acesta din urmă are negat asemenea acuzații, în timp ce, de asemenea precizând în analiza sa post-mortem că „Nu s-a produs nicio pierdere de fonduri pe podul GALA. Toate jetoanele GALA de pe Ethereum sunt sigure.Matei 22:21
1/2 Condamnăm cu fermitate acuzațiile lui Huobi împotriva pNetwork ca fiind neadevărate și vom solicita acțiuni legale în consecință.
Avem dovezi documentate care arată că pNetwork a acționat cu bună-credință, că toate acțiunile au fost convenite în prealabil cu GalaGames și că...— pNetwork (@pNetworkDeFi) Noiembrie 6, 2022
Sursa: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github