lundi, décembre 23, 2024

L’exploit de jeton GALA a résulté d’une fuite publique de clé privée sur GitHub

Selon un nouveau message de la société de sécurité blockchain SlowMist le 7 novembre, il apparaît que l’exploit de jeton de la semaine dernière affectant le projet GameFi Gala Games résultait d’une fuite publique des clés de sécurité applicables sur GitHub. Comme l’a raconté SlowMist, pNetwork, le pont d’interopérabilité entre chaînes utilisé par Gala Games sur la chaîne intelligente BNB, avait trois rôles privilégiés dans son contrat intelligent pGALA.

« Le rôle d’administrateur est utilisé pour gérer les mises à niveau et les modifications de l’adresse d’administration du contrat de proxy. Le rôle DEFAULT_ADMIN_ROLE est utilisé pour gérer divers rôles privilégiés dans la logique (par exemple : MINTER_ROLE ), et le rôle MINTER_ROLE gère l’autorité de frappe du jeton pGALA. »

SlowMist a poursuivi en expliquant que les rôles DEFAULT_ADMIN_ROLE et MINTER_ROLE étaient contrôlés par pNetwork lors de l’initialisation. Pendant ce temps, le contrat d’administration proxy était une adresse externe responsable de la mise à niveau du contrat pGALA. Cependant, la société a publié une capture d’écran alléguant que la clé privée en clair de l’adresse du propriétaire de l’administrateur proxy était exposée et visible publiquement sur GitHub. Ainsi, tout utilisateur ayant accès à la clé privée pourrait avoir manipulé le contrat pGALA à tout moment. Le 28 août, le propriétaire du contrat d’administration proxy a été remplacé, rendant le protocole vulnérable à une attaque.

Le pont de jetons Gala Games a été exploité le 3 novembre après qu’une seule adresse de portefeuille ait semblé avoir frappé plus de 2 milliards de dollars en jetons GALA (GALA) à partir de rien et jeté les jetons sur l’échange décentralisé PancakeSwap. Environ 12 977 BNB (BNB), d’une valeur de 4,5 millions de dollars, ont été prélevés du pool de liquidités.

L’échange de crypto-monnaie Huobi a allégué que les activités susmentionnées étaient un stratagème à but lucratif orchestré par pNetwork. Ce dernier a refusé de telles allégations, tout en indiquant dans son analyse post-mortem, « aucune perte de fonds ne s’est produite sur le pont inter-chaînes GALA. Tous les jetons GALA sur Ethereum sont sûrs.