Yn ôl swydd newydd gan gwmni diogelwch blockchain SlowMist ar 7 Tachwedd, mae'n yn ymddangos fod y token exploit yr wythnos ddiweddaf sy'n effeithio ar brosiect GameFi Gemau Gala yn deillio o ollyngiad cyhoeddus o allweddi diogelwch cymwys ar GitHub. Fel y dywedodd SlowMist, roedd gan pNetwork, y bont rhyngweithredu traws-gadwyn a ddefnyddir gan Gala Games ar y BNB Smart Chain, dair rôl freintiedig yn ei gontract smart pGALA.
“Defnyddir y rôl Weinyddol i reoli diweddariadau a newidiadau i gyfeiriad Gweinyddol y contract dirprwy. Defnyddir rôl DEFAULT_ADMIN_ROLE i reoli rolau breintiedig amrywiol yn y rhesymeg (e.e.: MINTER_ROLE ), ac mae rôl MINTER_ROLE yn rheoli awdurdod bathu tocynnau pGALA.”
Aeth SlowMist ymlaen i egluro bod y rolau DEFAULT_ADMIN_ROLE a MINTER_ROLE yn cael eu rheoli gan pNetwork yn ystod y cychwyniad. Yn y cyfamser, roedd y contract dirprwy weinyddol yn gyfeiriad allanol a oedd yn gyfrifol am uwchraddio'r contract pGALA. Fodd bynnag, fe bostiodd y cwmni lun yn honni bod yr allwedd breifat plaintext ar gyfer cyfeiriad perchennog gweinyddwr dirprwy yn agored ac yn weladwy i'r cyhoedd ar GitHub. Felly, gallai unrhyw ddefnyddiwr sydd â mynediad at yr allwedd breifat fod wedi trin y contract pGALA ar unrhyw adeg. Ar Awst 28, disodlwyd perchennog y contract gweinyddol dirprwyol, gan wneud y protocol yn agored i ymosodiad.
Manteisiwyd ar bont tocyn Gemau Gala ar Dachwedd 3 ar ôl i gyfeiriad waled sengl ymddangos i fod wedi cronni dros $2 biliwn yn GALA (GALA) tocynnau allan o aer tenau a gadael y tocynnau ar gyfnewidfa ddatganoledig PancakeSwap. Tua 12,977 BNB (BNB), gwerth $4.5 miliwn, wedi'i ddraenio o'r gronfa hylifedd.
Cyfnewid arian cyfred digidol Honnodd Huobi fod y gweithgareddau a grybwyllwyd uchod yn gynllun ar gyfer elw a drefnwyd gan pNetwork. Mae gan yr olaf gwadu honiadau o'r fath, tra hefyd yn datgan yn ei ddadansoddiad post-mortem “Ni chollwyd unrhyw arian ar bont trawsgadwyn GALA. Mae pob tocyn GALA ar Ethereum yn ddiogel."
1/2 Rydym yn condemnio'n gryf gyhuddiadau Huobi yn erbyn pNetwork fel rhai celwyddog a byddwn yn ceisio camau cyfreithiol yn unol â hynny.
Rydym wedi dogfennu prawf sy'n dangos bod pNetwork wedi gweithredu'n ddidwyll, y cytunwyd ar bob gweithred ymlaen llaw gyda GalaGames a bod…— pNetwork (@pNetworkDeFi) Tachwedd 6
Ffynhonnell: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github