Tech

GALA Token Ausbeutung ass aus dem ëffentleche Leck vu private Schlëssel op GitHub entstanen

11/07/2022
Bitcoin Ethereum Neiegkeeten

No engem neie Post vun blockchain Sécherheet Firma SlowMist op November 7, et gewisen datt de Token vun der leschter Woch exploitéiert Afloss GameFi Projet Gala Games Resultat vun engem ëffentleche Leck vun applicabel Sécherheetsschlësselen op GitHub. Wéi gesot vum SlowMist, pNetwork, d'Kräizketten Interoperabilitéitsbréck benotzt vu Gala Games op der BNB Smart Chain, hat dräi privilegiéiert Rollen a sengem Smart Kontrakt pGALA.

"D'Admin Roll gëtt benotzt fir Upgrades an Ännerungen un der Admin Adress vum Proxy Kontrakt ze managen. D'DEFAULT_ADMIN_ROLE Roll gëtt benotzt fir verschidde privilegiéiert Rollen an der Logik ze managen (zB: MINTER_ROLE ), an d'MINTER_ROLE Roll geréiert d'pGALA Token Minting Autoritéit.

SlowMist huet weider erkläert datt souwuel d'DEFAULT_ADMIN_ROLE wéi och d'MINTER_ROLE Rolle vum pNetwork während der Initialiséierung kontrolléiert goufen. Mëttlerweil war de Proxy Admin Kontrakt eng extern Besëtz Adress verantwortlech fir d'Upgrade vum pGALA Kontrakt. Wéi och ëmmer, d'Firma huet e Screenshot gepost a behaapt datt de Kloertext private Schlëssel fir d'Proxy Admin Besëtzer Adress ausgesat an ëffentlech op GitHub gesi war. Also, all Benotzer mat Zougang zum private Schlëssel hätt de pGALA Kontrakt zu all Moment manipuléiert. Den 28. August gouf de Proxy Admin Kontrakt Besëtzer ersat, wat de Protokoll vulnérabel fir en Attack mécht.

D'Gala Games Token Bréck gouf den 3. November exploitéiert nodeems eng eenzeg Portemonnaieadress anscheinend iwwer 2 Milliarden Dollar am GALA geschéngt huet (GALA) Tokens aus dënnem Loft an hunn d'Tokens op dezentraliséierten Austausch PancakeSwap gedumpt. Ongeféier 12,977 BNB (BNB), am Wäert vun 4.5 Milliounen Dollar, gouf aus dem Liquiditéitspool ofgeleet.

Den Huobi Krypto-Währungsaustausch huet behaapt datt déi uewe genannten Aktivitéiten e Schema fir Gewënn waren orchestréiert vun pNetwork. Déi lescht huet verweigert goufen esou Uklo, iwwerdeems och behaapt a senger post-mortem Analyse datt "Kee Fongverloscht ass op der GALA Cross-chain Bréck geschitt. All GALA Tokens op Ethereum si sécher."