Według nowego postu firmy SlowMist zajmującej się bezpieczeństwem blockchain z 7 listopada, pojawia się że token exploita z zeszłego tygodnia wpływające na projekt GameFi Gala Games wynikało z publicznego wycieku odpowiednich kluczy bezpieczeństwa w serwisie GitHub. Jak powiedział SlowMist, pNetwork, most interoperacyjności między łańcuchami używany przez Gala Games w inteligentnym łańcuchu BNB, miał trzy uprzywilejowane role w inteligentnej umowie pGALA.
„Rola administratora służy do zarządzania aktualizacjami i zmianami adresu administratora umowy proxy. Rola DEFAULT_ADMIN_ROLE służy do zarządzania różnymi uprzywilejowanymi rolami w logice (np. MINTER_ROLE ), a rola MINTER_ROLE zarządza urzędem bicia tokenów pGALA.”
SlowMist wyjaśnił, że obie role DEFAULT_ADMIN_ROLE i MINTER_ROLE były kontrolowane przez pNetwork podczas inicjalizacji. Tymczasem umowa administratora proxy była zewnętrznym adresem odpowiedzialnym za aktualizację umowy pGALA. Jednak firma opublikowała zrzut ekranu, w którym twierdzi, że klucz prywatny w postaci zwykłego tekstu dla adresu właściciela serwera proxy został ujawniony i publicznie widoczny na GitHub. W ten sposób każdy użytkownik mający dostęp do klucza prywatnego mógł w dowolnym momencie manipulować umową pGALA. 28 sierpnia właściciel kontraktu administratora proxy został zastąpiony, przez co protokół był podatny na atak.
Most tokenów Gala Games został wykorzystany 3 listopada po tym, jak jeden adres portfela wybił ponad 2 miliardy dolarów w GALA (PREMIERA) tokeny znikąd i zrzucił tokeny na zdecentralizowanej giełdzie PancakeSwap. Około 12,977 BNB (BNB), o wartości 4.5 mln USD, została wycofana z puli płynności.
Giełda kryptowalut Huobi twierdziła, że wyżej wymienione działania były planem zysku zorganizowanym przez pNetwork. Ten ostatni ma odmówiono takie zarzuty, a także stwierdzając w swojej analizie pośmiertnej, że „Nie doszło do utraty funduszy na moście krzyżowym GALA. Wszystkie tokeny GALA w Ethereum są bezpieczne."
1/2 Zdecydowanie potępiamy jako nieprawdziwe oskarżenia Huobi przeciwko pNetwork i podejmiemy odpowiednie kroki prawne.
Mamy udokumentowany dowód na to, że pNetwork działał w dobrej wierze, że wszystkie działania zostały wcześniej uzgodnione z GalaGames i że…— pNetwork (@pNetworkDeFi) Listopad 6, 2022
Źródło: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github