Ayon sa isang bagong post ng blockchain security firm na SlowMist noong Nob. 7, ito Lumilitaw na ang token exploit noong nakaraang linggo nakakaapekto sa proyekto ng GameFi na Gala Games nagresulta mula sa pampublikong pagtagas ng mga naaangkop na security key sa GitHub. Gaya ng sinabi ng SlowMist, ang pNetwork, ang cross-chain interoperability bridge na ginagamit ng Gala Games sa BNB Smart Chain, ay may tatlong privileged na tungkulin sa smart contract nitong pGALA.
“Ginagamit ang tungkulin ng Admin upang pamahalaan ang mga pag-upgrade at pagbabago sa Admin address ng kontrata ng proxy. Ang DEFAULT_ADMIN_ROLE na tungkulin ay ginagamit upang pamahalaan ang iba't ibang mga privileged na tungkulin sa lohika (hal: MINTER_ROLE ), at ang MINTER_ROLE na tungkulin ay namamahala sa pGALA token minting authority."
Ipinaliwanag pa ng SlowMist na ang mga tungkuling DEFAULT_ADMIN_ROLE at MINTER_ROLE ay kinokontrol ng pNetwork sa panahon ng pagsisimula. Samantala, ang kontrata ng proxy admin ay isang address na pag-aari ng external na responsable para sa pag-upgrade ng kontrata ng pGALA. Gayunpaman, nag-post ang firm ng screenshot na nagsasabing ang plaintext na pribadong key para sa address ng may-ari ng proxy admin ay nalantad at makikita ng publiko sa GitHub. Kaya, maaaring manipulahin ng sinumang user na may access sa pribadong key ang kontrata ng pGALA anumang oras. Noong Ago. 28, pinalitan ang may-ari ng kontrata ng proxy admin, na ginagawang vulnerable ang protocol sa isang pag-atake.
Ang token bridge ng Gala Games ay pinagsamantalahan noong Nob. 3 matapos ang isang address ng wallet ay lumitaw na nakagawa ng mahigit $2 bilyon sa GALA (GALA ) token out of thin air at itinapon ang mga token sa decentralized exchange PancakeSwap. Humigit-kumulang 12,977 BNB (BNB), na nagkakahalaga ng $4.5 milyon, ay naubos mula sa liquidity pool.
Cryptocurrency exchange Huobi diumano ang mga nabanggit na aktibidad ay isang pamamaraan para sa tubo na isinaayos ng pNetwork. Ang huli ay may tinanggihan gayong mga paratang, habang din nagpapahayag sa pagsusuri nito sa post-mortem na “Walang nawalang pondo ang nangyari sa GALA cross-chain bridge. Ang lahat ng GALA token sa Ethereum ay ligtas."
1/2 Mahigpit naming kinokondena bilang hindi makatotohanang mga akusasyon ni Huobi laban sa pNetwork at hihingi kami ng legal na aksyon nang naaayon.
Nagdokumento kami ng patunay na nagpapakita na ang pNetwork ay kumilos nang may mabuting loob, na ang lahat ng aksyon ay napagkasunduan nang maaga sa GalaGames at na…— pNetwork (@pNetworkDeFi) Nobyembre 6, 2022
Pinagmulan: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github