根据区块链安全公司慢雾 7 月 XNUMX 日的一篇新帖子,它 出现 上周的令牌利用 影响 GameFi 项目 Gala Games 由于 GitHub 上适用的安全密钥的公开泄漏。 据慢雾网报道,Gala Games 在 BNB 智能链上使用的跨链互操作桥梁 pNetwork 在其智能合约 pGALA 中具有三个特权角色。
“管理员角色用于管理代理合约管理员地址的升级和更改。 DEFAULT_ADMIN_ROLE 角色用于管理逻辑中的各种特权角色(例如: MINTER_ROLE ),而 MINTER_ROLE 角色管理 pGALA 令牌铸造权限。”
慢雾继续解释说,DEFAULT_ADMIN_ROLE 和 MINTER_ROLE 角色在初始化期间都由 pNetwork 控制。 同时,proxy admin 合约是一个外部拥有的地址,负责升级 pGALA 合约。 然而,该公司发布了一张截图,声称代理管理员所有者地址的明文私钥在 GitHub 上被暴露并公开查看。 因此,任何有权访问私钥的用户都可能随时操纵 pGALA 合约。 28 月 XNUMX 日,代理管理合约所有者被替换,使得协议容易受到攻击。
Gala Games 代币桥于 3 月 2 日被利用,此前一个钱包地址似乎已经铸造了超过 XNUMX 亿美元的 GALA(GALA) 代币凭空出现,并将代币转储到去中心化交易所 PancakeSwap。 约 12,977 BNB (BNB),价值 4.5 万美元,从流动资金池中抽走。
加密货币交易所火币声称上述活动是由 pNetwork 精心策划的营利计划。 后者有 否认 这样的指控,同时也 说明 在其事后分析中,“GALA跨链桥没有发生资金损失。 以太坊上的所有 GALA 代币都是安全的。=
1/2我们强烈谴责火币对pNetwork的不实指控,我们将采取相应的法律行动。
我们有证据证明 pNetwork 的行为是善意的,所有的行动都是事先与 GalaGames 达成一致的,而且……— pNetwork (@pNetworkDeFi) 2022 年 11 月 6 日
来源:https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github