Tech

GALA marķiera izmantošanas iemesls bija privātās atslēgas publiska noplūde vietnē GitHub

11/07/2022
Bitcoin Ethereum ziņas

Saskaņā ar jauno blokķēdes drošības firmas SlowMist ierakstu 7. novembrī, tas parādās ka pēdējās nedēļas žetonu izmantošana kas ietekmē GameFi projektu Gala Games radās piemērojamo drošības atslēgu publiskas noplūdes dēļ vietnē GitHub. Kā pastāstīja SlowMist, pNetwork, starpķēžu sadarbspējas tiltam, ko Gala Games izmanto BNB viedķēdē, tā viedajā līgumā pGALA bija trīs priviliģētas lomas.

attēls

“Administratora loma tiek izmantota, lai pārvaldītu jauninājumus un izmaiņas starpniekservera līguma administratora adresē. Loma DEFAULT_ADMIN_ROLE tiek izmantota, lai pārvaldītu dažādas priviliģētas lomas loģikā (piemēram, MINTER_ROLE ), un loma MINTER_ROLE pārvalda pGALA marķiera kalšanas iestādi.

SlowMist turpināja paskaidrot, ka gan lomas DEFAULT_ADMIN_ROLE, gan MINTER_ROLE inicializācijas laikā kontrolēja pNetwork. Tikmēr starpniekservera administratora līgums bija ārēji piederoša adrese, kas bija atbildīga par pGALA līguma jaunināšanu. Tomēr uzņēmums ievietoja ekrānuzņēmumu, apgalvojot, ka starpniekservera administratora īpašnieka adreses vienkāršā teksta privātā atslēga bija atklāta un publiski skatāma vietnē GitHub. Tādējādi jebkurš lietotājs, kuram ir piekļuve privātajai atslēgai, varēja jebkurā laikā manipulēt ar pGALA līgumu. 28. augustā tika nomainīts starpniekservera administratora līguma īpašnieks, padarot protokolu neaizsargātu pret uzbrukumu.

Gala Games žetonu tilts tika izmantots 3. novembrī pēc tam, kad šķita, ka viena maka adrese GALA bija izkalusi vairāk nekā 2 miljardus dolāru (GALA) žetonus no zila gaisa un ievietoja tos decentralizētajā apmaiņas PancakeSwap. Apmēram 12,977 XNUMX BNB (BNB), kuras vērtība ir 4.5 miljoni USD, tika izņemta no likviditātes fonda.

Kriptovalūtas birža Huobi apgalvoja, ka iepriekš minētās darbības bija pNetwork organizēta peļņas shēma. Pēdējam ir noraidīts šādus apgalvojumus, bet arī norādot savā pēcnāves analīzē, ka “Uz GALA šķērsķēžu tilta līdzekļu zaudējums nav noticis. Visi Ethereum GALA marķieri ir droši."