Tech

GALA loa ärakasutamine tulenes GitHubi privaatvõtme avalikust lekkest

11/07/2022
Bitcoin Ethereumi uudised

Vastavalt plokiahela turvafirma SlowMist 7. novembri uuele postitusele on see ilmub et viimase nädala märgi ärakasutamine mis mõjutavad GameFi projekti Gala Games tulenes GitHubi kohaldatavate turvavõtmete avalikust lekkest. Nagu SlowMist ütles, oli pNetworkil, ahelatevahelisel koostalitlusvõime sillal, mida Gala Games kasutab BNB nutiketis, oma nutikas lepingus pGALA kolm privilegeeritud rolli.

„Administraatori rolli kasutatakse puhverserveri lepingu administraatori aadressi täienduste ja muudatuste haldamiseks. Rolli DEFAULT_ADMIN_ROLE kasutatakse erinevate privilegeeritud rollide haldamiseks loogikas (nt: MINTER_ROLE ) ja MINTER_ROLE rolli haldab pGALA märgi vermimise volitusi.

SlowMist selgitas, et nii rolli DEFAULT_ADMIN_ROLE kui ka MINTER_ROLE juhtis lähtestamise ajal pNetwork. Vahepeal oli puhverserveri administraatori leping välise omanduses olev aadress, mis vastutas pGALA lepingu täiendamise eest. Ettevõte postitas aga ekraanipildi, milles väideti, et puhverserveri administraatori omaniku aadressi lihtteksti privaatvõti oli avalikult nähtav ja GitHubis nähtav. Seega võis iga privaatvõtmele juurdepääsu omav kasutaja pGALA lepingut igal ajal manipuleerida. 28. augustil vahetati puhverserveri administraatori lepingu omanik, muutes protokolli rünnakute suhtes haavatavaks.

Gala Games märgisilda kasutati ära 3. novembril pärast seda, kui ühe rahakoti aadressiga näis olevat GALAs vermitud üle 2 miljardi dollari (GALA) märgid tühjast välja ja pani need detsentraliseeritud börsile PancakeSwap. Umbes 12,977 XNUMX BNB (BNB), mille väärtus on 4.5 miljonit dollarit, eemaldati likviidsusfondist.

Krüptovaluutabörs Huobi väitis, et ülalnimetatud tegevused olid pNetworki korraldatud kasumiskeem. Viimasel on keeldutakse selliseid väiteid, samas ka märkides oma surmajärgses analüüsis, et „GALA ahelatevahelisel sillal rahalist kahju ei toimunud. Kõik Ethereumi GALA märgid on turvalised."