GALA token bị hack do rò rỉ khóa cá nhân công khai trên GitHub
Có vẻ như khóa cá nhân bị rò rỉ đã gây ra sự thay đổi quyền sở hữu trong hợp đồng thông minh bị xâm phạm trước đó 70 ngày.
Theo một bài đăng mới của công ty bảo mật blockchain SlowMist vào ngày 7 tháng 11, có vẻ như việc khai thác mã thông báo tuần trước ảnh hưởng đến dự án GameFi Gala Games là do rò rỉ công khai các khóa bảo mật áp dụng trên GitHub. Như đã nói với SlowMist, pNetwork, cầu nối khả năng tương tác xuyên chuỗi được Gala Games sử dụng trên BNB Smart Chain, có ba vai trò đặc quyền trong hợp đồng thông minh pGALA của nó.
“Vai trò Quản trị viên được sử dụng để quản lý các nâng cấp và thay đổi đối với địa chỉ Quản trị viên của hợp đồng ủy quyền. Vai trò DEFAULT_ADMIN_ROLE được sử dụng để quản lý các vai trò đặc quyền khác nhau trong logic (ví dụ: MINTER_ROLE) và vai trò MINTER_ROLE quản lý cơ quan đúc mã thông báo pGALA. ”
SlowMist tiếp tục giải thích rằng cả hai vai trò DEFAULT_ADMIN_ROLE và MINTER_ROLE đều được kiểm soát bởi pNetwork trong quá trình khởi tạo. Trong khi đó, hợp đồng quản trị ủy quyền là một địa chỉ thuộc sở hữu bên ngoài chịu trách nhiệm nâng cấp hợp đồng pGALA. Tuy nhiên, công ty đã đăng một ảnh chụp màn hình cáo buộc rằng khóa riêng của văn bản rõ ràng cho địa chỉ chủ sở hữu proxy đã bị lộ và có thể xem công khai trên GitHub. Do đó, bất kỳ người dùng nào có quyền truy cập vào khóa cá nhân đều có thể thao túng hợp đồng pGALA bất cứ lúc nào. Vào ngày 28 tháng 8, chủ sở hữu hợp đồng quản trị proxy đã được thay thế, khiến giao thức dễ bị tấn công.
Cầu mã thông báo Gala Games đã được khai thác vào ngày 3 tháng 11 sau khi một địa chỉ ví duy nhất dường như đã đúc hơn 2 tỷ USD trong GALA mã thông báo ra khỏi không khí mỏng và bán mã thông báo trên sàn giao dịch phi tập trung PancakeSwap. Khoảng 12,977 BNB, trị giá 4,5 triệu USD, đã bị rút khỏi nhóm thanh khoản.
Sàn giao dịch tiền điện tử Huobi cáo buộc các hoạt động nói trên là một kế hoạch vì lợi nhuận do pNetwork dàn dựng. Sau đó đã phủ nhận những cáo buộc như vậy, đồng thời cũng tuyên bố trong phân tích sau khi khám nghiệm rằng “Không có tổn thất nào xảy ra trên cây cầu xuyên chuỗi GALA. Tất cả các mã thông báo GALA trên Ethereum đều an toàn. ”
1/2 Chúng tôi cực kỳ lên án những cáo buộc không trung thực của Huobi đối với pNetwork và chúng tôi sẽ tìm kiếm hành động pháp lý phù hợp.
Chúng tôi đã ghi lại bằng chứng cho thấy rằng pNetwork đã hành động một cách thiện chí, rằng tất cả các hành động đã được thỏa thuận trước với GalaGames và rằng…– pNetwork (@pNetworkDeFi) ngày 6 tháng 11 năm 2022