Σύμφωνα με μια νέα ανάρτηση από την εταιρεία ασφάλειας blockchain SlowMist στις 7 Νοεμβρίου, αυτό εμφανίζεται ότι η συμβολική εκμετάλλευση της περασμένης εβδομάδας που επηρεάζουν το έργο GameFi Gala Games προέκυψε από δημόσια διαρροή των ισχυόντων κλειδιών ασφαλείας στο GitHub. Όπως αναφέρθηκε από το SlowMist, το pNetwork, η γέφυρα διαλειτουργικότητας πολλαπλών αλυσίδων που χρησιμοποιείται από την Gala Games στο BNB Smart Chain, είχε τρεις προνομιούχους ρόλους στο έξυπνο συμβόλαιό της pGALA.
"Ο ρόλος διαχειριστή χρησιμοποιείται για τη διαχείριση αναβαθμίσεων και αλλαγών στη διεύθυνση διαχειριστή του συμβολαίου μεσολάβησης. Ο ρόλος DEFAULT_ADMIN_ROLE χρησιμοποιείται για τη διαχείριση διαφόρων προνομιακών ρόλων στη λογική (π.χ.: MINTER_ROLE ) και ο ρόλος MINTER_ROLE διαχειρίζεται την αρχή κοπής διακριτικών pGALA."
Το SlowMist συνέχισε εξηγώντας ότι και οι δύο ρόλοι DEFAULT_ADMIN_ROLE και MINTER_ROLE ελέγχονταν από το pNetwork κατά την προετοιμασία. Εν τω μεταξύ, η σύμβαση διαχειριστή μεσολάβησης ήταν μια διεύθυνση εξωτερικής ιδιοκτησίας υπεύθυνη για την αναβάθμιση της σύμβασης pGALA. Ωστόσο, η εταιρεία δημοσίευσε ένα στιγμιότυπο οθόνης υποστηρίζοντας ότι το ιδιωτικό κλειδί απλού κειμένου για τη διεύθυνση κατόχου του διαχειριστή μεσολάβησης ήταν εκτεθειμένο και δημόσια ορατό στο GitHub. Έτσι, οποιοσδήποτε χρήστης με πρόσβαση στο ιδιωτικό κλειδί θα μπορούσε να έχει χειριστεί τη σύμβαση pGALA ανά πάσα στιγμή. Στις 28 Αυγούστου, ο κάτοχος της σύμβασης διαχειριστή μεσολάβησης αντικαταστάθηκε, καθιστώντας το πρωτόκολλο ευάλωτο σε επίθεση.
Η συμβολική γέφυρα Gala Games χρησιμοποιήθηκε στις 3 Νοεμβρίου, αφού μια διεύθυνση πορτοφολιού φάνηκε να έχει κόψει πάνω από 2 δισεκατομμύρια δολάρια στο GALA (GALA) τα κουπόνια από τον αέρα και τα πέταξαν σε αποκεντρωμένη ανταλλαγή PancakeSwap. Περίπου 12,977 BNB (BNB), αξίας 4.5 εκατομμυρίων δολαρίων, αποστραγγίστηκε από τη δεξαμενή ρευστότητας.
Η ανταλλαγή κρυπτονομισμάτων Huobi ισχυρίστηκε ότι οι προαναφερθείσες δραστηριότητες ήταν ένα σχέδιο για κέρδος που ενορχηστρώθηκε από το pNetwork. Το τελευταίο έχει αρνήθηκε τέτοιους ισχυρισμούς, ενώ επίσης δηλώνοντας στην μεταθανάτια ανάλυσή του ότι «Δεν σημειώθηκε απώλεια κεφαλαίων στη γέφυρα διασταυρούμενης αλυσίδας GALA. Όλα τα διακριτικά GALA στο Ethereum είναι ασφαλή."
1/2 Καταδικάζουμε σθεναρά ως αναληθείς τις κατηγορίες της Huobi κατά του pNetwork και θα αναζητήσουμε νομική δράση ανάλογα.
Έχουμε τεκμηριωμένη απόδειξη που δείχνει ότι το pNetwork ενήργησε καλόπιστα, ότι όλες οι ενέργειες είχαν συμφωνηθεί εκ των προτέρων με το GalaGames και ότι…— pNetwork (@pNetworkDeFi) Νοέμβριος 6, 2022
Πηγή: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github