根據區塊鏈安全公司慢霧 7 月 XNUMX 日的一篇新帖子,它 出現 上週的令牌利用 影響 GameFi 項目 Gala Games 由於 GitHub 上適用的安全密鑰的公開洩漏。 據慢霧網報導,Gala Games 在 BNB 智能鏈上使用的跨鏈互操作橋樑 pNetwork 在其智能合約 pGALA 中具有三個特權角色。
“管理員角色用於管理代理合約管理員地址的升級和更改。 DEFAULT_ADMIN_ROLE 角色用於管理邏輯中的各種特權角色(例如: MINTER_ROLE ),而 MINTER_ROLE 角色管理 pGALA 代幣鑄造權限。”
慢霧繼續解釋說,DEFAULT_ADMIN_ROLE 和 MINTER_ROLE 角色在初始化期間都由 pNetwork 控制。 同時,proxy admin 合約是一個外部擁有的地址,負責升級 pGALA 合約。 然而,該公司發布了一張截圖,聲稱代理管理員所有者地址的明文私鑰在 GitHub 上被暴露並公開查看。 因此,任何有權訪問私鑰的用戶都可能隨時操縱 pGALA 合約。 28 月 XNUMX 日,代理管理合約所有者被替換,使得協議容易受到攻擊。
Gala Games 代幣橋於 3 月 2 日被利用,此前一個錢包地址似乎已經鑄造了超過 XNUMX 億美元的 GALA(GALA) 代幣憑空出現,並將代幣轉儲到去中心化交易所 PancakeSwap。 約 12,977 BNB (BNB),價值 4.5 萬美元,從流動資金池中抽走。
加密貨幣交易所火幣聲稱上述活動是由 pNetwork 精心策劃的營利計劃。 後者有 否認 這樣的指控,同時也 說明 在其事後分析中,“GALA跨鏈橋沒有發生資金損失。 以太坊上的所有 GALA 代幣都是安全的。“
1/2我們強烈譴責火幣對pNetwork的不實指控,我們將採取相應的法律行動。
我們有證據證明 pNetwork 的行為是善意的,所有的行動都是事先與 GalaGames 達成一致的,而且……— pNetwork (@pNetworkDeFi) 2022 年 11 月 6 日
來源:https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github