Согласно новому сообщению компании SlowMist, занимающейся безопасностью блокчейнов, от 7 ноября, это появляется что эксплойт токенов прошлой недели влияет на проект GameFi Gala Games в результате публичной утечки применимых ключей безопасности на GitHub. Как сообщает SlowMist, pNetwork, межсетевой мост взаимодействия, используемый Gala Games в смарт-чейне BNB, имел три привилегированные роли в своем смарт-контракте pGALA.
«Роль администратора используется для управления обновлениями и изменениями адреса администратора прокси-контракта. Роль DEFAULT_ADMIN_ROLE используется для управления различными привилегированными ролями в логике (например, MINTER_ROLE), а роль MINTER_ROLE управляет полномочиями по созданию токенов pGALA».
Далее SlowMist объяснил, что роли DEFAULT_ADMIN_ROLE и MINTER_ROLE контролировались pNetwork во время инициализации. Между тем, контракт администратора прокси-сервера был внешним адресом, ответственным за обновление контракта pGALA. Тем не менее, компания опубликовала снимок экрана, в котором утверждается, что закрытый ключ открытого текста для адреса владельца прокси-администратора был раскрыт и доступен для публичного просмотра на GitHub. Таким образом, любой пользователь, имеющий доступ к закрытому ключу, мог в любое время манипулировать контрактом pGALA. 28 августа был заменен владелец контракта администратора прокси, что сделало протокол уязвимым для атаки.
Токен-бридж Gala Games был использован 3 ноября после того, как один адрес кошелька, как оказалось, отчеканил более 2 миллиардов долларов в GALA (GALA) из ниоткуда и сбросил токены на децентрализованную биржу PancakeSwap. Около 12,977 XNUMX BNB (BNB) на сумму 4.5 миллиона долларов была выведена из пула ликвидности.
Криптовалютная биржа Huobi заявила, что вышеупомянутые действия были схемой получения прибыли, организованной pNetwork. Последний имеет отказано такие обвинения, а также заявив, в своем послематчевом анализе говорится, что «в кроссчейн-мосте GALA не было потери средств. Все токены GALA на Ethereum безопасны.
1/2 Мы решительно осуждаем как ложные обвинения Huobi против pNetwork и соответственно будем добиваться судебного иска.
У нас есть документальное подтверждение того, что pNetwork действовала добросовестно, что все действия были заранее согласованы с GalaGames и что…— pNetwork (@pNetworkDeFi) 6 ноября 2022
Источник: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github.