7 नवंबर को ब्लॉकचेन सिक्योरिटी फर्म स्लोमिस्ट की एक नई पोस्ट के अनुसार, it प्रकट होता है कि पिछले सप्ताह के टोकन शोषण GameFi प्रोजेक्ट Gala Games को प्रभावित कर रहा है GitHub पर लागू सुरक्षा कुंजियों के सार्वजनिक रिसाव के परिणामस्वरूप हुआ। स्लोमिस्ट के अनुसार, पीनेटवर्क, बीएनबी स्मार्ट चेन पर गाला गेम्स द्वारा उपयोग किए जाने वाले क्रॉस-चेन इंटरऑपरेबिलिटी ब्रिज की स्मार्ट कॉन्ट्रैक्ट पीजीएएलए में तीन विशेषाधिकार प्राप्त भूमिकाएं थीं।
"प्रॉक्सी अनुबंध के व्यवस्थापक पते में उन्नयन और परिवर्तनों को प्रबंधित करने के लिए व्यवस्थापक भूमिका का उपयोग किया जाता है। DEFAULT_ADMIN_ROLE भूमिका का उपयोग तर्क में विभिन्न विशेषाधिकार प्राप्त भूमिकाओं को प्रबंधित करने के लिए किया जाता है (उदाहरण: MINTER_ROLE), और MINTER_ROLE भूमिका pGALA टोकन खनन प्राधिकरण का प्रबंधन करती है।"
SlowMist ने आगे बताया कि आरंभीकरण के दौरान DEFAULT_ADMIN_ROLE और MINTER_ROLE दोनों भूमिकाओं को pNetwork द्वारा नियंत्रित किया गया था। इस बीच, प्रॉक्सी व्यवस्थापक अनुबंध एक बाहरी स्वामित्व वाला पता था जो pGALA अनुबंध को अपग्रेड करने के लिए जिम्मेदार था। हालांकि, फर्म ने एक स्क्रीनशॉट पोस्ट किया जिसमें आरोप लगाया गया कि प्रॉक्सी व्यवस्थापक मालिक के पते के लिए प्लेनटेक्स्ट निजी कुंजी का खुलासा किया गया था और सार्वजनिक रूप से गिटहब पर देखा जा सकता था। इस प्रकार, निजी कुंजी तक पहुंच रखने वाला कोई भी उपयोगकर्ता किसी भी समय पीजीएएलए अनुबंध में हेरफेर कर सकता था। 28 अगस्त को, प्रॉक्सी व्यवस्थापक अनुबंध स्वामी को बदल दिया गया, जिससे प्रोटोकॉल हमले के प्रति संवेदनशील हो गया।
गाला गेम्स टोकन ब्रिज का 3 नवंबर को शोषण किया गया था, जब एक एकल वॉलेट पते ने GALA में $ 2 बिलियन से अधिक का खनन किया था (GALA) पतली हवा से टोकन और विकेंद्रीकृत एक्सचेंज पैनकेक स्वैप पर टोकन को डंप कर दिया। लगभग 12,977 बीएनबी (BNB), जिसकी कीमत $4.5 मिलियन थी, को तरलता पूल से निकाल दिया गया था।
क्रिप्टोक्यूरेंसी एक्सचेंज हुओबी ने आरोप लगाया कि उपरोक्त गतिविधियां पीनेटवर्क द्वारा संचालित लाभ के लिए एक योजना थी। बाद वाला है से इनकार किया इस तरह के आरोप, जबकि भी बताते हुए अपने पोस्टमार्टम विश्लेषण में कि "गाला क्रॉस-चेन ब्रिज पर कोई धन हानि नहीं हुई। Ethereum पर सभी GALA टोकन सुरक्षित हैं।"
1/2 हम pNetwork के खिलाफ हुओबी के आरोपों को झूठा बताते हुए कड़ी निंदा करते हैं और हम तदनुसार कानूनी कार्रवाई की मांग करेंगे।
हमने यह दिखाते हुए प्रमाण का दस्तावेजीकरण किया है कि pNetwork ने अच्छे विश्वास के साथ काम किया है, कि सभी कार्यों पर गैलागेम्स के साथ अग्रिम रूप से सहमति व्यक्त की गई थी और यह कि…- पीनेटवर्क (@pNetworkDeFi) नवम्बर 6/2022
स्रोत: https://cointelegraph.com/news/report-gala-token-exploit-resulted-from-public-leak-of-private-key-on-github