Teknologia

GALA-tunnuksen hyväksikäyttö johtui yksityisen avaimen julkisesta vuotamisesta GitHubissa

11/07/2022
Bitcoin Ethereum -uutiset

Lohkoketjun tietoturvayrityksen SlowMistin 7. marraskuuta julkaiseman uuden viestin mukaan se näyttää että viime viikon token exploit jotka vaikuttavat GameFi-projektin Gala Gamesiin johtui sovellettavien suojausavainten julkisesta vuodosta GitHubissa. Kuten SlowMist kertoo, pNetworkilla, Gala Gamesin BNB Smart Chainissa käyttämällä ketjujen välisellä yhteentoimivuussillalla, oli kolme etuoikeutettua roolia älykkäässä sopimuksessaan pGALA.

"Järjestelmänvalvojaroolia käytetään välityspalvelimen järjestelmänvalvojan osoitteen päivitysten ja muutosten hallintaan. DEFAULT_ADMIN_ROLE-roolia käytetään hallitsemaan erilaisia ​​logiikan etuoikeutettuja rooleja (esim.: MINTER_ROLE ), ja MINTER_ROLE-rooli hallitsee pGALA-tunnuksen lyöntivaltuutta."

SlowMist selitti edelleen, että sekä DEFAULT_ADMIN_ROLE- että MINTER_ROLE-rooleja ohjasi pNetwork alustuksen aikana. Samaan aikaan välityspalvelimen järjestelmänvalvojasopimus oli ulkoisesti omistettu osoite, joka vastasi pGALA-sopimuksen päivittämisestä. Yritys julkaisi kuitenkin kuvakaappauksen, jossa väitettiin, että välityspalvelimen järjestelmänvalvojan omistajan osoitteen selväkielinen yksityinen avain oli esillä ja nähtävissä julkisesti GitHubissa. Siten kuka tahansa käyttäjä, jolla on pääsy yksityiseen avaimeen, olisi voinut manipuloida pGALA-sopimusta milloin tahansa. 28. elokuuta välityspalvelimen järjestelmänvalvojasopimuksen omistaja vaihdettiin, mikä teki protokollasta haavoittuvan hyökkäykselle.

Gala Games -merkkisiltaa käytettiin hyväksi 3. marraskuuta sen jälkeen kun yksi lompakkoosoite näytti lyövän yli 2 miljardia dollaria GALA:ssa (GALA) rahakkeita tyhjästä ja heitti rahakkeet hajautettuun vaihtoon PancakeSwap. Noin 12,977 XNUMX BNB (BNB), jonka arvo on 4.5 miljoonaa dollaria, poistettiin likviditeettipoolista.

Kryptovaluuttapörssi Huobi väitti, että edellä mainitut toiminnot olivat pNetworkin järjestämää voittosuunnitelmaa. Jälkimmäisellä on evätty tällaisia ​​väitteitä myös jossa post mortem -analyysissaan, jonka mukaan "GALA-ketjujen välisellä sillalla ei tapahtunut varojen menetystä. Kaikki Ethereumin GALA-tunnukset ovat turvallisia."