Selon un nouveau message de la société de sécurité blockchain SlowMist le 7 novembre, il apparaît que l’exploit de jeton de la semaine dernière affectant le projet GameFi Gala Games résultait d’une fuite publique des clés de sécurité applicables sur GitHub. Comme l’a raconté SlowMist, pNetwork, le pont d’interopérabilité entre chaînes utilisé par Gala Games sur la chaîne intelligente BNB, avait trois rôles privilégiés dans son contrat intelligent pGALA.
« Le rôle d’administrateur est utilisé pour gérer les mises à niveau et les modifications de l’adresse d’administration du contrat de proxy. Le rôle DEFAULT_ADMIN_ROLE est utilisé pour gérer divers rôles privilégiés dans la logique (par exemple : MINTER_ROLE ), et le rôle MINTER_ROLE gère l’autorité de frappe du jeton pGALA. »
SlowMist a poursuivi en expliquant que les rôles DEFAULT_ADMIN_ROLE et MINTER_ROLE étaient contrôlés par pNetwork lors de l’initialisation. Pendant ce temps, le contrat d’administration proxy était une adresse externe responsable de la mise à niveau du contrat pGALA. Cependant, la société a publié une capture d’écran alléguant que la clé privée en clair de l’adresse du propriétaire de l’administrateur proxy était exposée et visible publiquement sur GitHub. Ainsi, tout utilisateur ayant accès à la clé privée pourrait avoir manipulé le contrat pGALA à tout moment. Le 28 août, le propriétaire du contrat d’administration proxy a été remplacé, rendant le protocole vulnérable à une attaque.
Le pont de jetons Gala Games a été exploité le 3 novembre après qu’une seule adresse de portefeuille ait semblé avoir frappé plus de 2 milliards de dollars en jetons GALA (GALA) à partir de rien et jeté les jetons sur l’échange décentralisé PancakeSwap. Environ 12 977 BNB (BNB), d’une valeur de 4,5 millions de dollars, ont été prélevés du pool de liquidités.
L’échange de crypto-monnaie Huobi a allégué que les activités susmentionnées étaient un stratagème à but lucratif orchestré par pNetwork. Ce dernier a refusé de telles allégations, tout en indiquant dans son analyse post-mortem, « aucune perte de fonds ne s’est produite sur le pont inter-chaînes GALA. Tous les jetons GALA sur Ethereum sont sûrs.”
1/2 Nous condamnons fermement les accusations de Huobi contre pNetwork et nous intenterons une action en justice en conséquence.
Nous avons des preuves documentées montrant que pNetwork a agi de bonne foi, que toutes les actions ont été convenues à l’avance avec GalaGames et que…– pNetwork (@pNetworkDeFi) 6 novembre 2022