Secondo un nuovo post della società di sicurezza blockchain SlowMist il 7 novembre, esso appare che l'exploit del token della scorsa settimana che interessano il progetto GameFi Gala Games derivato da una perdita pubblica di chiavi di sicurezza applicabili su GitHub. Come racconta SlowMist, pNetwork, il ponte di interoperabilità cross-chain utilizzato da Gala Games sulla BNB Smart Chain, ha avuto tre ruoli privilegiati nel suo smart contract pGALA.
“Il ruolo di amministratore viene utilizzato per gestire gli aggiornamenti e le modifiche all'indirizzo di amministratore del contratto proxy. Il ruolo DEFAULT_ADMIN_ROLE viene utilizzato per gestire vari ruoli privilegiati nella logica (es: MINTER_ROLE ) e il ruolo MINTER_ROLE gestisce l'autorità di conio del token pGALA."
SlowMist ha continuato spiegando che entrambi i ruoli DEFAULT_ADMIN_ROLE e MINTER_ROLE erano controllati da pNetwork durante l'inizializzazione. Nel frattempo, il contratto di amministratore proxy era un indirizzo di proprietà esterna responsabile dell'aggiornamento del contratto pGALA. Tuttavia, l'azienda ha pubblicato uno screenshot in cui affermava che la chiave privata in chiaro per l'indirizzo del proprietario dell'amministratore proxy era esposta e visualizzabile pubblicamente su GitHub. Pertanto, qualsiasi utente con accesso alla chiave privata potrebbe aver manipolato il contratto pGALA in qualsiasi momento. Il 28 agosto, il proprietario del contratto di amministratore proxy è stato sostituito, rendendo il protocollo vulnerabile a un attacco.
Il token bridge di Gala Games è stato sfruttato il 3 novembre dopo che un singolo indirizzo di portafoglio sembrava aver coniato oltre $ 2 miliardi in GALA (GALA) gettoni dal nulla e li ha scaricati sullo scambio decentralizzato PancakeSwap. Circa 12,977 BNB (BNB), del valore di 4.5 milioni di dollari, è stato drenato dal pool di liquidità.
L'exchange di criptovalute Huobi ha affermato che le suddette attività erano uno schema a scopo di lucro orchestrato da pNetwork. Quest'ultimo ha negato tali accuse, mentre anche affermando nella sua analisi post mortem che “Nessuna perdita di fondi si è verificata sul ponte a catena incrociata GALA. Tutti i token GALA su Ethereum sono al sicuro."
1/2 Condanniamo fermamente come non veritiere le accuse di Huobi contro pNetwork e cercheremo di conseguenza un'azione legale.
Abbiamo documentato prove che dimostrano che pNetwork ha agito in buona fede, che tutte le azioni sono state concordate in anticipo con GalaGames e che...— pNetwork (@pNetworkDeFi) 6 Novembre 2022
Fonte: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github