Laut einem neuen Beitrag des Blockchain-Sicherheitsunternehmens SlowMist vom 7. November ist der Token-Exploit beim GameFi-Projekt Gala Games auf ein öffentliches Leck der anwendbaren Sicherheitsschlüssel auf GitHub zurückzuführen. Wie SlowMist mitteilte, hatte pNetwork, die chainübergreifende Interoperabilitätsbrücke, die von Gala Games auf der BNB Smart Chain verwendet wird, drei privilegierte Rollen in seinem Smart Contract pGALA.
"Als Admin verwaltet man Upgrades und Änderungen an der Admin-Adresse des Proxy-Contract. Die Rolle DEFAULT_ADMIN_ROLE wird verwendet, um verschiedene privilegierte Rollen in der Logik zu verwalten (z.B.: MINTER_ROLE). Die Rolle MINTER_ROLE verwaltet die pGALA-Token-Prägestelle".SlowMist erklärte weiter, dass die DEFAULT_ADMIN_ROLE als auch die MINTER_ROLE während der Initialisierung von pNetwork kontrolliert wurden. Unterdessen war der Proxy-Admin-Contract eine externe Adresse, die für die Aktualisierung des pGALA-Contract zuständig war. Das Unternehmen hat jedoch einen Screenshot gepostet, in dem behauptet wird, der private Schlüssel für die Eigentümeradresse des Proxy-Administrators sei im Klartext offengelegt worden und auf GitHub öffentlich einsehbar gewesen. Somit hätte jeder Benutzer mit Zugriff auf den privaten Schlüssel den pGALA-Contract jederzeit manipulieren können. Am 28. August wurde der Contract-Eigentümer des Proxy-Administrators ausgetauscht, wodurch das Protokoll eine Schwachstelle bekam.
Die Token-Brücke von Gala Games wurde am 3. November gehackt. Dabei hat eine einzige Wallet-Adresse über 2 Milliarden US-Dollar in GALA (GALA)-Token aus dem Nichts geprägt und die Token auf der dezentralen Börse PancakeSwap verkauft. Rund 12.977 BNB (BNB) im Wert von 4,5 Millionen US-Dollar wurden aus dem Liquiditätspool entnommen.
Lesen Sie weiter auf Cointelegraph
