Blockchain güvenlik firması SlowMist tarafından 7 Kasım'da yayınlanan yeni bir gönderiye göre, belirir geçen haftaki token istismarının GameFi projesini etkileyen Gala Games GitHub'da geçerli güvenlik anahtarlarının herkese açık olarak sızdırılmasından kaynaklandı. SlowMist tarafından anlatıldığı gibi, Gala Games tarafından BNB Akıllı Zincirinde kullanılan zincirler arası birlikte çalışabilirlik köprüsü olan pNetwork, akıllı sözleşme pGALA'sında üç ayrıcalıklı role sahipti.
“Yönetici rolü, proxy sözleşmesinin Yönetici adresindeki yükseltmeleri ve değişiklikleri yönetmek için kullanılır. DEFAULT_ADMIN_ROLE rolü, mantıktaki çeşitli ayrıcalıklı rolleri yönetmek için kullanılır (örneğin: MINTER_ROLE ) ve MINTER_ROLE rolü, pGALA belirteç basım yetkisini yönetir.
SlowMist, başlatma sırasında hem DEFAULT_ADMIN_ROLE hem de MINTER_ROLE rollerinin pNetwork tarafından kontrol edildiğini açıklamaya devam etti. Bu arada, vekil yönetici sözleşmesi, pGALA sözleşmesinin yükseltilmesinden sorumlu, harici olarak sahip olunan bir adresti. Ancak firma, proxy yönetici sahibi adresi için düz metin özel anahtarının açık olduğunu ve GitHub'da herkese açık olarak görüntülenebileceğini iddia eden bir ekran görüntüsü yayınladı. Böylece, özel anahtara erişimi olan herhangi bir kullanıcı, herhangi bir zamanda pGALA sözleşmesini manipüle edebilirdi. 28 Ağustos'ta, proxy yöneticisi sözleşme sahibi değiştirildi ve bu, protokolü bir saldırıya karşı savunmasız hale getirdi.
Gala Games jeton köprüsü, tek bir cüzdan adresinin GALA'da 3 milyar doların üzerinde para basmasının ardından 2 Kasım'da istismar edildi (GALA) jetonları yoktan var etti ve jetonları merkezi olmayan borsa PancakeSwap'a attı. Yaklaşık 12,977 BNB (BNB), likidite havuzundan 4.5 milyon dolar çekildi.
Kripto para borsası Huobi, yukarıda bahsedilen faaliyetlerin pNetwork tarafından yönetilen bir kâr planı olduğunu iddia etti. İkincisi var inkar bu tür iddialar, aynı zamanda belirten ölüm sonrası analizinde “GALA çapraz zincir köprüsünde herhangi bir fon kaybı yaşanmadı. Ethereum'daki tüm GALA jetonları güvenlidir.başlıklı bir kılavuz yayınladı
1/2 Huobi'nin pNetwork'e yönelik suçlamalarını asılsız bularak şiddetle kınıyoruz ve buna göre yasal işlem başlatacağız.
pNetwork'ün iyi niyetle hareket ettiğini, tüm eylemlerin GalaGames ile önceden kararlaştırıldığını gösteren kanıtları belgeledik ve…— pNetwork (@pNetworkDeFi) 6 Kasım 2022
Kaynak: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github