فن آوری

سوء استفاده توکن GALA ناشی از نشت عمومی کلید خصوصی در GitHub است

11/07/2022
اخبار بیت کوین اتریوم

طبق یک پست جدید توسط شرکت امنیتی بلاک چین SlowMist در 7 نوامبر، آن ظاهر می شود که اکسپلویت رمز هفته گذشته بر پروژه GameFi Gala Games تاثیر می گذارد ناشی از نشت عمومی کلیدهای امنیتی قابل اجرا در GitHub. همانطور که SlowMist گفته است، pNetwork، پل قابلیت همکاری متقابل زنجیره ای که توسط Gala Games در زنجیره هوشمند BNB استفاده می شود، سه نقش ممتاز در قرارداد هوشمند pGALA خود داشت.

"نقش Admin برای مدیریت ارتقاها و تغییرات در آدرس Admin قرارداد پروکسی استفاده می شود. نقش DEFAULT_ADMIN_ROLE برای مدیریت نقش‌های ممتاز مختلف در منطق استفاده می‌شود (به عنوان مثال: MINTER_ROLE)، و نقش MINTER_ROLE، مرجع ضرب کردن توکن pGALA را مدیریت می‌کند.

SlowMist در ادامه توضیح داد که هر دو نقش DEFAULT_ADMIN_ROLE و MINTER_ROLE توسط pNetwork در طول مقداردهی اولیه کنترل می‌شوند. در همین حال، قرارداد مدیریت پروکسی یک آدرس خارجی بود که مسئول ارتقاء قرارداد pGALA بود. با این حال، این شرکت یک اسکرین شات منتشر کرد که ادعا می‌کرد کلید خصوصی متن ساده برای آدرس مالک ادمین پروکسی در معرض دید عموم قرار گرفته و در GitHub قابل مشاهده است. بنابراین، هر کاربری که به کلید خصوصی دسترسی داشته باشد، می‌تواند قرارداد pGALA را در هر زمانی دستکاری کند. در 28 آگوست، مالک قرارداد مدیریت پروکسی جایگزین شد و پروتکل را در برابر حمله آسیب پذیر کرد.

پل رمزی گالا گیمز در 3 نوامبر پس از اینکه به نظر می‌رسید یک آدرس کیف پول تنها بیش از 2 میلیارد دلار در گالا جمع آوری کرده بود، مورد بهره برداری قرار گرفت.گالا) توکن ها را از هوا خارج کرد و توکن ها را در صرافی غیرمتمرکز PancakeSwap ریخت. حدود 12,977 BNB (BNB) به ارزش 4.5 میلیون دلار از استخر نقدینگی تخلیه شد.

صرافی ارزهای دیجیتال Huobi ادعا کرد که فعالیت های فوق الذکر طرحی برای سود بوده که توسط pNetwork تنظیم شده است. دومی دارد تکذیب کرد چنین ادعاهایی، در حالی که همچنین حاکی در تجزیه و تحلیل پس از مرگ خود گفت: "هیچ بودجه ای در پل زنجیره ای گالا از بین نرفت. تمام توکن های GALA در اتریوم ایمن هستند."