Според новиот пост на фирмата за безбедност на блокчејн SlowMist на 7 ноември, тоа се појавува дека минатонеделниот токен експлоат кои влијаат на проектот GameFi Гала игри резултат на јавно протекување на применливите безбедносни клучеви на GitHub. Како што е кажано од SlowMist, pNetwork, мостот за интероперабилност со вкрстени синџири што го користеше Gala Games на BNB Smart Chain, имаше три привилегирани улоги во својот паметен договор pGALA.
„Улогата на Администраторот се користи за управување со надградби и промени на администраторската адреса на договорот за прокси. Улогата DEFAULT_ADMIN_ROLE се користи за управување со различни привилегирани улоги во логиката (на пр.: MINTER_ROLE ), а улогата MINTER_ROLE управува со авторитетот за ковање токени pGALA.
SlowMist продолжи да објаснува дека и улогите DEFAULT_ADMIN_ROLE и MINTER_ROLE биле контролирани од pNetwork за време на иницијализацијата. Во меѓувреме, прокси-административниот договор беше адреса во надворешна сопственост одговорна за надградба на договорот pGALA. Сепак, фирмата објави скриншот во кој се тврди дека приватниот клуч за обичен текст за адресата на сопственикот на администраторот на прокси е изложен и јавно можен да се гледа на GitHub. Така, секој корисник со пристап до приватниот клуч можел да манипулира со договорот pGALA во секое време. На 28 август, сопственикот на договорот за прокси администратор беше заменет, што го направи протоколот ранлив на напад.
Токен мостот Гала Игри беше експлоатиран на 3 ноември, откако се чинеше дека една адреса на паричникот на GALA собрала над 2 милијарди долари (ГАЛА) жетони од тенок воздух и фрлени токени на децентрализирана размена PancakeSwap. Околу 12,977 BNB (БНБ), во вредност од 4.5 милиони долари, беше исцедена од базенот за ликвидност.
Размената на криптовалути Huobi тврдеше дека гореспоменатите активности биле шема за профит оркестрирана од pNetwork. Вториот има негираше ваквите наводи, додека исто така во која се наведува во својата постмортална анализа дека „Нема загуба на средства на мостот со вкрстени синџири ГАЛА. Сите GALA токени на Ethereum се безбедни."
1/2 Силно ги осудуваме како невистинити обвинувањата на Huobi против pNetwork и соодветно ќе побараме правна постапка.
Имаме документиран доказ кој покажува дека pNetwork постапил со добра волја, дека сите дејства биле однапред договорени со GalaGames и дека…— pNetwork (@pNetworkDeFi) Ноември 6, 2022
Извор: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github