Відповідно до нової публікації фірми безпеки блокчейну SlowMist від 7 листопада, це з'являється що експлойт токенів минулого тижня впливає на проект GameFi Gala Games сталася в результаті публічного витоку відповідних ключів безпеки на GitHub. Як повідомляє SlowMist, pNetwork, міжланцюговий міст взаємодії, який використовується Gala Games у BNB Smart Chain, мав три привілейовані ролі в смарт-контракті pGALA.
«Роль адміністратора використовується для керування оновленнями та змінами адреси адміністратора проксі-контракту. Роль DEFAULT_ADMIN_ROLE використовується для керування різними привілейованими ролями в логіці (наприклад: MINTER_ROLE), а роль MINTER_ROLE керує повноваженнями для карбування токенів pGALA».
Далі SlowMist пояснив, що ролі DEFAULT_ADMIN_ROLE і MINTER_ROLE контролювали pNetwork під час ініціалізації. Тим часом контракт проксі-адміністратора був зовнішньою адресою, відповідальною за оновлення контракту pGALA. Однак фірма опублікувала знімок екрана, на якому стверджується, що відкритий закритий ключ для адреси власника адміністратора проксі-сервера був відкритий і доступний для загального перегляду на GitHub. Таким чином, будь-який користувач, який має доступ до закритого ключа, міг будь-коли маніпулювати контрактом pGALA. 28 серпня власника контракту проксі-адміністратора було замінено, що зробило протокол вразливим до атак.
Міст токенів Gala Games був використаний 3 листопада після того, як одна адреса гаманця, здавалося, викарбувала понад 2 мільярди доларів США в GALA (GALA) токени з повітря та викинув токени на децентралізовану біржу PancakeSwap. Близько 12,977 XNUMX BNB (BNB), вартістю 4.5 мільйона доларів, було виведено з пулу ліквідності.
Криптовалютна біржа Huobi стверджувала, що вищезгадана діяльність була схемою отримання прибутку, організованою pNetwork. Останній має відмовлено такі звинувачення, а також про те, у своєму посмертному аналізі зазначено, що «на міжланцюговому мосту GALA не було втрат коштів. Усі токени GALA на Ethereum безпечні."
1/2 Ми рішуче засуджуємо як неправдиві звинувачення Huobi проти pNetwork і будемо вимагати відповідного судового позову.
Ми задокументували докази того, що pNetwork діяв добросовісно, що всі дії були заздалегідь узгоджені з GalaGames і що…— pNetwork (@pNetworkDeFi) Листопад 6, 2022
Джерело: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github