يبدو أن المفتاح الخاص الذي تم تسريبه تسبب في تغيير الملكية في العقد الذكي المخترق قبل ٧٠ يومًا
وفقًا لمنشور جديد أصدرته شركة SlowMist لأمان بلوكتشين يوم ٧ نوفمبر، يبدو أن استغلال التوكن الأسبوع الماضي الذي أثر على مشروع تمويل الألعاب "غالا غيمز" نتج عن تسرب عام لمفاتيح الأمان القابلة للتطبيق على غيتهاب. وحسبما أوضحت SlowMist، فإن pNetwork، وهو جسر التشغيل البيني عبر السلاسل الذي تستخدمه غالا غيمز على بي إن بي تشين، كان له ثلاثة أدوار مميزة في عقده الذكي pGALA.
"يتم استخدام دور المسؤول لإدارة الترقيات والتغييرات على عنوان المسؤول لعقد الوكيل. ويتم استخدام دور DEFAULT_ADMIN_ROLE لإدارة الأدوار المميزة المتنوعة في المنطق (على سبيل المثال: MINTER_ROLE)، ويدير دور MINTER_ROLE سلطة صك توكن pGALA."
تابعت SlowMist لتشرح أن كل من الأدوار DEFAULT_ADMIN_ROLE وMINTER_ROLE تم التحكم فيها بواسطة pNetwork أثناء التهيئة. وفي الوقت نفسه، كان عقد إدارة الوكيل عبارة عن عنوان مملوك خارجيًا مسؤولًا عن ترقية عقد pGALA. ومع ذلك، نشرت الشركة لقطة شاشة تزعم أن المفتاح الخاص للنص العادي لعنوان مالك المسؤول الوكيل قد تم كشفه وعرضه للجمهور على GitHub. وبالتالي، يمكن لأي مستخدم لديه حق الوصول إلى المفتاح الخاص التلاعب بعقد pGALA في أي وقت. في ٢٨ أغسطس، تم استبدال مالك عقد مشرف الوكيل، مما جعل البروتوكول عرضة للهجوم.
تم استغلال جسر توكنات غالا غيمز يوم ٣ نوفمبر بعد أن بدا أن عنوان محفظة واحد قد سك أكثر من ٢ مليار دولار في توكنات GALA من العدم وألغيت التوكنات في بورصة بانكيك سواب اللامركزية. تم استنزاف حوالي ١٢٩٧٧ BNB، بقيمة ٤,٥ ملايين دولار، من مجمع السيولة.
1/2 We strongly condemn as untruthful Huobi’s accusations against pNetwork and we will seek legal action accordingly.
— pNetwork (@pNetworkDeFi) November 6, 2022
We have documented proof showing that pNetwork has acted in good faith, that all actions were agreed upon in advance with GalaGames and that…
