El exploit del token GALA se produjo por la filtración de la clave privada en GitHub

Al parecer, la clave privada filtrada provocó un cambio de titularidad en el contrato inteligente comprometido hace 70 días.

Según un nuevo post de la firma de seguridad blockchain SlowMist el lunes, parece que el exploit de tokens que rodea al proyecto GameFi Gala Games la semana pasada fue el resultado de una filtración en GitHub de las claves de seguridad aplicables. Según SlowMist, pNetwork, el puente de interoperabilidad cross-chain utilizado por Gala Games en BNB chain tenía tres funciones privilegiadas en su contrato inteligente pGALA.

«El rol Admin se utiliza para gestionar actualizaciones y cambios en la dirección Admin del contrato proxy. El rol DEFAULT_ADMIN_ROLE se utiliza para gestionar varios roles privilegiados en la lógica (por ejemplo: MINTER_ROLE), y el MINTER_ROLE gestiona la autoridad de acuñación de tokens pGALA».

SlowMist continuó explicando que tanto el DEFAULT_ADMIN_ROLE como el MINTER_ROLE eran controlados por pNetwork durante la inicialización. Mientras tanto, el contrato proxy Admin era una dirección externa responsable de actualizar el contrato pGALA. Sin embargo, la empresa publicó una captura de pantalla en la que se alegaba que la clave privada en texto plano de la dirección del propietario del proxy Admin estaba expuesta y que cualquiera podía verla en GitHub. Así, cualquier usuario con acceso a la clave privada podría haber manipulado el contrato de pGALA en cualquier momento. El 28 de agosto, el propietario del contrato proxy Admin fue sustituido, lo que hizo que el protocolo fuera vulnerable a un ataque.

El puente de tokens de Gala Games fue vulnerado el 3 de noviembre luego de que una única dirección de cartera pareciera haber acuñado más de USD 2,000 millones en tokens GALA de la nada y vendido los tokens en el exchange descentralizado PancakeSwap. Alrededor de 12,977 BNB por valor de USD 4.5 millones fueron drenados del fondo de liquidez.

El exchange de criptomonedas Huobi alegó que las actividades mencionadas eran un plan para obtener ganancias orquestado por pNetwork. Esta última ha negado tales acusaciones, al tiempo que ha afirmado en su análisis post-mortem que «no se produjo ninguna pérdida de fondos en el puente cross-chain de GALA. Todos los tokens GALA en Ethereum están seguros».

¨Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.

Sigue leyendo:

Free website hits