Pagal naują blokų grandinės saugos įmonės „SlowMist“ įrašą lapkričio 7 d pasirodo kad praėjusios savaitės žetonų išnaudojimas įtakos GameFi projekto Gala Games atsirado dėl viešo taikomų saugos raktų nutekėjimo „GitHub“. Kaip pasakojo „SlowMist“, „pNetwork“, kelių grandinių sąveikos tiltas, kurį „Gala Games“ naudoja BNB išmaniojoje grandinėje, išmaniojoje sutartyje „pGALA“ atliko tris privilegijuotus vaidmenis.
„Administratoriaus vaidmuo naudojamas tvarkyti tarpinio serverio sutarties administratoriaus adreso atnaujinimus ir pakeitimus. DEFAULT_ADMIN_ROLE vaidmuo naudojamas įvairiems privilegijuotiems logikos vaidmenims valdyti (pvz.: MINTER_ROLE ), o MINTER_ROLE vaidmuo valdo pGALA prieigos raktų kūrimo instituciją.
SlowMist paaiškino, kad tiek DEFAULT_ADMIN_ROLE, tiek MINTER_ROLE vaidmenis inicijavimo metu valdė pNetwork. Tuo tarpu įgaliotojo administratoriaus sutartis buvo išorinis adresas, atsakingas už pGALA sutarties atnaujinimą. Tačiau įmonė paskelbė ekrano kopiją, kurioje teigiama, kad tarpinio serverio administratoriaus savininko adreso paprastojo teksto privatus raktas buvo atskleistas ir viešai matomas GitHub. Taigi bet kuris vartotojas, turintis prieigą prie privataus rakto, galėjo bet kada manipuliuoti pGALA sutartimi. Rugpjūčio 28 d. buvo pakeistas įgaliotojo administratoriaus sutarties savininkas, todėl protokolas buvo pažeidžiamas atakai.
„Gala Games“ žetonų tiltas buvo panaudotas lapkričio 3 d. po to, kai pasirodė, kad vienas piniginės adresas GALA nukaldino daugiau nei 2 mlrd.GALA). Apie 12,977 XNUMX BNB (BNB), kurios vertė 4.5 mln. USD, buvo nusausinta iš likvidumo fondo.
Kriptovaliutų birža Huobi teigė, kad pirmiau minėta veikla buvo „pNetwork“ organizuota pelno schema. Pastarasis turi atmesta tokius kaltinimus, o taip pat nurodydamas savo pomirtinėje analizėje, kad „Ant GALA kryžminio grandininio tilto lėšų nebuvo prarasta. Visi GALA žetonai Ethereum yra saugūs."
1/2 Griežtai smerkiame kaip melagingus Huobi kaltinimus pNetwork ir atitinkamai imsimės teisinių veiksmų.
Turime dokumentais pagrįstą įrodymą, įrodantį, kad pNetwork veikė sąžiningai, kad dėl visų veiksmų buvo iš anksto susitarta su GalaGames ir kad…— pNetwork (@pNetworkDeFi) Lapkritis 6, 2022
Šaltinis: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github