Згодна з новым паведамленнем фірмы па бяспецы блокчейнов SlowMist ад 7 лістапада, гэта з'яўляецца што эксплойт токенаў на мінулым тыдні уплывае на праект GameFi Gala Games у выніку публічнай уцечкі адпаведных ключоў бяспекі на GitHub. Як паведаміў SlowMist, pNetwork, крос-ланцуговы мост узаемадзеяння, які выкарыстоўваецца Gala Games у BNB Smart Chain, меў тры прывілеяваныя ролі ў смарт-кантракце pGALA.
«Роля адміністратара выкарыстоўваецца для кіравання абнаўленнямі і зменамі адраса адміністратара кантракта проксі. Роля DEFAULT_ADMIN_ROLE выкарыстоўваецца для кіравання рознымі прывілеяванымі ролямі ў логіцы (напрыклад: MINTER_ROLE), а роля MINTER_ROLE кіруе правам чаканкі токенаў pGALA.»
Далей SlowMist растлумачыў, што ролі DEFAULT_ADMIN_ROLE і MINTER_ROLE кантраляваліся pNetwork падчас ініцыялізацыі. Між тым, кантракт проксі-адміністратара быў знешнім адрасам, які адказваў за абнаўленне кантракта pGALA. Тым не менш, фірма апублікавала скрыншот, у якім сцвярджаецца, што закрыты ключ у адкрытым выглядзе для адраса ўладальніка проксі-адміністратара быў выкрыты і даступны для публічнага прагляду на GitHub. Такім чынам, любы карыстальнік з доступам да прыватнага ключа мог маніпуляваць кантрактам pGALA ў любы час. 28 жніўня ўладальнік кантракту проксі-адміністратара быў заменены, што зрабіла пратакол уразлівым для нападаў.
Брыдж токена Gala Games быў выкарыстаны 3 лістапада пасля таго, як адзін адрас кашалька, здавалася, адчаканіў больш за 2 мільярды долараў у GALA (GALA) токены з паветра і скінуў токены на дэцэнтралізаваную біржу PancakeSwap. Каля 12,977 XNUMX BNB (НББ), на суму 4.5 мільёна долараў, была выведзена з пулу ліквіднасці.
Біржа крыптавалют Huobi сцвярджала, што вышэйзгаданая дзейнасць была схемай атрымання прыбытку, арганізаванай pNetwork. Апошняе мае адмоўлена такія сцвярджэнні, а таксама аб тым, у сваім пасмяротным аналізе сказана, што «на папярочным ланцуговым мосце GALA страты сродкаў не адбылося. Усе токены GALA на Ethereum бяспечныя."
1/2 Мы рашуча асуджаем як непраўдзівыя абвінавачванні Huobi супраць pNetwork і будзем дамагацца судовага іску адпаведна.
У нас ёсць дакументальныя доказы таго, што pNetwork дзейнічаў добрасумленна, што ўсе дзеянні былі загадзя ўзгоднены з GalaGames і што...— pNetwork (@pNetworkDeFi) Лістапада 6, 2022
Крыніца: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github