I følge et nytt innlegg fra blokkjedesikkerhetsfirmaet SlowMist 7. november, er det vises at den siste ukens token utnyttelse påvirker GameFi-prosjektet Gala Games resulterte fra en offentlig lekkasje av gjeldende sikkerhetsnøkler på GitHub. Som fortalt av SlowMist, hadde pNetwork, interoperabilitetsbroen på tvers av kjeder brukt av Gala Games på BNB Smart Chain, tre privilegerte roller i sin smarte kontrakt pGALA.
"Administratorrollen brukes til å administrere oppgraderinger og endringer av administratoradressen til proxy-kontrakten. DEFAULT_ADMIN_ROLE-rollen brukes til å administrere ulike privilegerte roller i logikken (f.eks.: MINTER_ROLE ), og MINTER_ROLE-rollen administrerer pGALA-token-myntingmyndigheten.
SlowMist fortsatte med å forklare at både DEFAULT_ADMIN_ROLE- og MINTER_ROLE-rollene ble kontrollert av pNetwork under initialisering. I mellomtiden var proxy-admin-kontrakten en eksternt eid adresse som var ansvarlig for å oppgradere pGALA-kontrakten. Imidlertid la firmaet ut et skjermbilde som påsto at den private nøkkelen i ren tekst for proxy-admin-eieradressen var avslørt og offentlig synlig på GitHub. Dermed kunne enhver bruker med tilgang til den private nøkkelen ha manipulert pGALA-kontrakten når som helst. 28. august ble eieren av proxy-admin-kontrakten byttet ut, noe som gjorde protokollen sårbar for et angrep.
Gala Games token-broen ble utnyttet 3. november etter at en enkelt lommebokadresse så ut til å ha preget over 2 milliarder dollar i GALA (GALA) tokens ut av løse luften og dumpet tokens på desentralisert utveksling PancakeSwap. Rundt 12,977 XNUMX BNB (BNB), verdt 4.5 millioner dollar, ble tappet fra likviditetspoolen.
Kryptovalutautveksling Huobi påsto at de nevnte aktivitetene var en ordning for profitt orkestrert av pNetwork. Sistnevnte har benektet slike påstander, mens også sier i sin post-mortem-analyse at «Ingen tap av midler skjedde på GALA-krysskjedebroen. Alle GALA-tokens på Ethereum er trygge."
1/2 Vi fordømmer på det sterkeste Huobis anklager mot pNetwork som usanne, og vi vil søke rettslige skritt tilsvarende.
Vi har dokumentert bevis som viser at pNetwork har handlet i god tro, at alle handlinger var avtalt på forhånd med GalaGames og at...— pNetwork (@pNetworkDeFi) November 6, 2022
Kilde: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github