על פי פוסט חדש של חברת אבטחת הבלוקצ'יין SlowMist ב-7 בנובמבר, זה מופיע שהניצול האסימון של השבוע האחרון משפיע על פרויקט GameFi Gala Games נבע מהדלפה פומבית של מפתחות אבטחה ישימים ב-GitHub. כפי שסיפר SlowMist, ל-pNetwork, גשר התפעול הדדיות חוצה שרשרת המשמש את Gala Games בשרשרת החכמה של BNB, היו שלושה תפקידים מועדפים בחוזה החכם שלה pGALA.
"תפקיד ה-Admin משמש לניהול שדרוגים ושינויים בכתובת ה-Admin של חוזה ה-proxy. התפקיד DEFAULT_ADMIN_ROLE משמש לניהול תפקידים מיוחסים שונים בלוגיקה (למשל: MINTER_ROLE), ותפקיד MINTER_ROLE מנהל את רשות הטבעת האסימונים pGALA."
SlowMist המשיך והסביר שגם התפקידים DEFAULT_ADMIN_ROLE וגם התפקידים MINTER_ROLE נשלטו על ידי pNetwork במהלך האתחול. בינתיים, חוזה ה-proxy admin היה כתובת בבעלות חיצונית האחראית לשדרוג חוזה pGALA. עם זאת, החברה פרסמה צילום מסך בטענה שהמפתח הפרטי בטקסט רגיל עבור כתובת הבעלים של ה-proxy היה חשוף וניתן לצפייה ציבורית ב-GitHub. לפיכך, כל משתמש עם גישה למפתח הפרטי יכול היה לתמרן את חוזה pGALA בכל עת. ב-28 באוגוסט הוחלף הבעלים של חוזה מנהל ה-proxy, מה שהפך את הפרוטוקול לפגיע להתקפה.
גשר האסימונים של משחקי הגאלה נוצל ב-3 בנובמבר לאחר שנראה היה שכתובת ארנק יחידה טבעה למעלה מ-2 מיליארד דולר ב-GALA (חגיגה) אסימונים יש מאין והשליכו את האסימונים לבורסה מבוזרת PancakeSwap. בסביבות 12,977 BNB (BNB), בשווי 4.5 מיליון דולר, נוקז ממאגר הנזילות.
בורסת מטבעות קריפטו, Huobi, טענה כי הפעילויות שהוזכרו לעיל היו תוכנית לרווח המתוזמרת על ידי pNetwork. זה האחרון יש נדחתה האשמות כאלה, תוך כדי גם לפי בניתוח שלאחר המוות שלה כי "לא קרה הפסד כספי בגשר צולב השרשרת של GALA. כל אסימוני GALA ב-Ethereum בטוחים."
1/2 אנו מגנים בתוקף את ההאשמות של Huobi כלפי pNetwork, כבלתי נכונות, ואנו נבקש צעדים משפטיים בהתאם.
תיעדנו הוכחות המראה ש-pNetwork פעלה בתום לב, שכל הפעולות סוכמו מראש עם GalaGames וש...— pNetwork (@pNetworkDeFi) 6 בנובמבר 2022
מקור: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github