Según una nueva publicación de la empresa de seguridad blockchain SlowMist del 7 de noviembre, aparece que el token exploit de la semana pasada que afectó al proyecto GameFi Gala Games fue el resultado de una filtración pública de las claves de seguridad aplicables en GitHub. Según lo dicho por SlowMist, pNetwork, el puente de interoperabilidad entre cadenas utilizado por Gala Games en BNB Smart Chain, tenía tres roles privilegiados en su contrato inteligente pGALA.
“La función de administrador se utiliza para administrar actualizaciones y cambios en la dirección de administrador del contrato de proxy. El rol DEFAULT_ADMIN_ROLE se usa para administrar varios roles privilegiados en la lógica (p. ej., MINTER_ROLE), y el rol MINTER_ROLE administra la autoridad de acuñación de tokens pGALA”.
SlowMist continuó explicando que pNetwork controlaba los roles DEFAULT_ADMIN_ROLE y MINTER_ROLE durante la inicialización. Mientras tanto, el contrato de administrador proxy era una dirección de propiedad externa responsable de actualizar el contrato pGALA. Sin embargo, la empresa publicó una captura de pantalla que alega que la clave privada de texto sin formato para la dirección del propietario del administrador del proxy estaba expuesta y se podía ver públicamente en GitHub. Así, cualquier usuario con acceso a la clave privada podría haber manipulado el contrato pGALA en cualquier momento. El 28 de agosto, se reemplazó al propietario del contrato de administración del proxy, lo que hizo que el protocolo fuera vulnerable a un ataque.
El puente de fichas de Gala Games se explotó el 3 de noviembre después de que una dirección de billetera única pareciera haber acuñado más de $ 2 mil millones en fichas GALA (GALA) de la nada y arrojar las fichas en el intercambio descentralizado PancakeSwap. Alrededor de 12.977 BNB (BNB), por valor de 4,5 millones de dólares, se drenaron del fondo de liquidez.
El intercambio de criptomonedas Huobi alegó que las actividades antes mencionadas eran un plan con fines de lucro orquestado por pNetwork. Este último tiene denegado dichas acusaciones, mientras que también declarando en su análisis post-mortem que “No se produjo ninguna pérdida de fondos en el puente de cadena cruzada GALA. Todos los tokens GALA en Ethereum son seguros.”
1/2 Condenamos enérgicamente como falsas las acusaciones de Huobi contra pNetwork y buscaremos acciones legales en consecuencia.
Tenemos pruebas documentadas que demuestran que pNetwork ha actuado de buena fe, que todas las acciones fueron acordadas de antemano con GalaGames y que…— pNetwork (@pNetworkDeFi) 6 de noviembre de 2022