Laut einem neuen Beitrag der Blockchain-Sicherheitsfirma SlowMist vom 7. November ist es erscheint dass der Token-Exploit der letzten Woche Auswirkungen auf das GameFi-Projekt Gala Games resultierte aus einem öffentlichen Leak anwendbarer Sicherheitsschlüssel auf GitHub. Wie SlowMist mitteilte, hatte pNetwork, die Cross-Chain-Interoperabilitätsbrücke, die von Gala Games auf der BNB Smart Chain verwendet wird, drei privilegierte Rollen in seinem Smart Contract pGALA.
„Die Admin-Rolle wird verwendet, um Upgrades und Änderungen an der Admin-Adresse des Proxy-Vertrags zu verwalten. Die DEFAULT_ADMIN_ROLE-Rolle wird verwendet, um verschiedene privilegierte Rollen in der Logik zu verwalten (z. B.: MINTER_ROLE ), und die MINTER_ROLE-Rolle verwaltet die pGALA-Token-Minting-Autorität.“
SlowMist erklärte weiter, dass sowohl die Rollen DEFAULT_ADMIN_ROLE als auch MINTER_ROLE während der Initialisierung von pNetwork gesteuert wurden. In der Zwischenzeit war der Proxy-Admin-Vertrag eine externe Adresse, die für das Upgrade des pGALA-Vertrags verantwortlich war. Die Firma hat jedoch einen Screenshot gepostet, in dem behauptet wird, dass der private Klartextschlüssel für die Adresse des Proxy-Administratorbesitzers offengelegt und auf GitHub öffentlich einsehbar war. Somit hätte jeder Benutzer mit Zugriff auf den privaten Schlüssel jederzeit den pGALA-Vertrag manipulieren können. Am 28. August wurde der Inhaber des Proxy-Admin-Vertrags ersetzt, wodurch das Protokoll anfällig für Angriffe wurde.
Die Token Bridge von Gala Games wurde am 3. November ausgenutzt, nachdem eine einzelne Wallet-Adresse offenbar über 2 Milliarden US-Dollar in GALA geprägt hatte (GALA) Token aus dem Nichts und warf die Token auf die dezentrale Börse PancakeSwap. Rund 12,977 BNB (BNB) im Wert von 4.5 Millionen US-Dollar wurde aus dem Liquiditätspool abgezogen.
Die Kryptowährungsbörse Huobi behauptete, die oben genannten Aktivitäten seien ein von pNetwork orchestriertes Profitprogramm gewesen. Letzteres hat verweigert solche Behauptungen, während auch Angabe in seiner Post-Mortem-Analyse, dass „auf der GALA-Cross-Chain-Brücke kein Geldverlust aufgetreten ist. Alle GALA-Token auf Ethereum sind sicher."
1/2 Wir verurteilen die Anschuldigungen von Huobi gegen pNetwork aufs Schärfste als unwahr und werden entsprechende rechtliche Schritte einleiten.
Wir haben dokumentierte Beweise dafür, dass pNetwork in gutem Glauben gehandelt hat, dass alle Handlungen im Voraus mit GalaGames vereinbart wurden und dass…– pNetwork (@pNetworkDeFi) 6. November 2022
Quelle: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github