根據區塊鏈安全公司SlowMist 11 月7 日的一篇新帖子,上週影響GameFi項目Gala Games 的代幣漏洞似乎是由於GitHub 上適用的安全密鑰公開洩露所致。據慢霧網報導,Gala Games 在BNB 智能鏈上使用的跨鏈互操作橋樑pNetwork 在其智能合約pGALA 中具有三個特權角色。
“管理員角色用於管理代理合約管理員地址的升級和更改。 DEFAULT_ADMIN_ROLE 角色用於管理邏輯中的各種特權角色(例如: MINTER_ROLE ),而MINTER_ROLE 角色管理pGALA 代幣鑄造權限。”
慢霧繼續解釋說,DEFAULT_ADMIN_ROLE 和MINTER_ROLE 角色在初始化期間都由pNetwork 控制。同時,proxy admin 合約是一個外部擁有的地址,負責升級pGALA 合約。然而,該公司發布了一張截圖,聲稱代理管理員所有者地址的明文私鑰在GitHub 上被暴露並公開查看。因此,任何有權訪問私鑰的用戶都可能隨時操縱pGALA 合約。 8 月28 日,代理管理合約所有者被替換,使得協議容易受到攻擊。
Gala Games 代幣橋於11 月3 日被利用,此前一個錢包地址似乎憑空鑄造了超過20 億美元的GALA (GALA) 代幣,並將代幣拋售到去中心化交易所PancakeSwap。價值450 萬美元的約12,977 BNB (BNB) 從流動資金礦池中流失。
加密貨幣交易所火幣聲稱上述活動是由pNetwork 精心策劃的營利計劃。後者否認了此類指控,同時還在其事後分析中表示“GALA跨鏈橋沒有發生資金損失。 以太坊上的所有GALA 代幣都是安全的。”
1/2我們強烈譴責火幣對pNetwork的不實指控,我們將採取相應的法律行動。
我們有證據證明pNetwork 的行為是善意的,所有的行動都是事先與GalaGames 達成一致的,而且……
— pNetwork (@pNetworkDeFi) 2022 年11 月6 日
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Zhiyuan Sun所有,未經許可,不得轉載