Gabung/ Daftar

SlowMist: Akar penyebab insiden pGALA adalah bahwa teks biasa dari kunci privat bocor di GitHub

07/11/2022 18:24

Menurut Slow Mist, pada 4 November, sebuah alamat di BNB Chain mencetak lebih dari US$1 miliar token pGALA begitu saja, dan menjualnya melalui PancakeSwap untuk mendapatkan keuntungan, menyebabkan GALA turun lebih dari 20% dalam waktu singkat. periode waktu. Hasil analisis SlowMist adalah sebagai berikut: 1. Kontrak pGALA menggunakan model proxy transparan (Transparent Proxy), yang memiliki tiga peran istimewa, yaitu Admin, DEFAULT_ADMIN_ROLE dan MINTER_ROLE. 2. Peran Admin digunakan untuk mengelola pemutakhiran kontrak proxy dan mengubah alamat Admin dari kontrak proxy. Peran DEFAULT_ADMIN_ROLE digunakan untuk mengelola peran istimewa dalam logika (seperti: MINTER_ROLE), dan peran MINTER_ROLE mengelola otoritas pencetakan token pGALA. 3. Dalam kejadian ini, peran Admin dari kontrak proksi pGALA ditentukan sebagai alamat kontrak proxyAdmin dari proksi transparan saat kontrak diterapkan, dan peran DEFAULT_ADMIN_ROLE dan MINTER_ROLE ditentukan untuk dikontrol oleh pNetwork selama inisialisasi. Kontrak proxyAdmin juga memiliki peran pemilik, yaitu alamat EOA, dan pemilik dapat memutakhirkan kontrak pGALA melalui proxyAdmin. 4. Namun, tim keamanan SlowMist menemukan bahwa teks biasa dari kunci pribadi dari alamat pemilik kontrak proxyAdmin telah bocor di Github, sehingga setiap pengguna yang mendapatkan kunci pribadi ini dapat mengontrol kontrak proxyAdmin untuk memutakhirkan kontrak pGALA kapan saja . 5. Alamat pemilik kontrak proxyAdmin telah diganti 70 hari yang lalu (28 Agustus 2022), dan proyek lain pLOTTO yang dikelolanya diduga telah diserang. 6. Karena desain arsitektur proxy transparan, perubahan peran Admin dari kontrak proxy pGALA hanya dapat dimulai oleh kontrak proxyAdmin. Oleh karena itu, setelah izin pemilik kontrak proxyAdmin hilang, kontrak pGALA sudah berisiko diserang kapan saja. Singkatnya, akar penyebab insiden pGALA adalah kunci pribadi pemilik peran Admin dari kontrak proksi pGALA bocor di Github, dan alamat pemiliknya diganti dengan jahat 70 hari yang lalu, mengakibatkan kontrak pGALA berisiko diserang kapan saja.

Bullish

Kasar

Berita lainnya tentang pgala

Apr 04
Huobihe Gala Games akan Membayar $50 Juta kepada Korban Skema pGala
Bullish2
Kasar1
Mar 20
Gala menggugat pNetwork atas nama korban pGala
Bullish1
Kasar3
Nov 08
Binance akan mendukung rencana pemulihan pNetwork (PNT), airdrop BNB kepada pemegang pGALA (BEP20) yang memenuhi syarat
Bullish
Kasar
Nov 08
Huobi telah mengirim ulang token PGALA di jaringan TRON
Bullish
Kasar
Nov 06
pNetwork: Menerbitkan token tambahan adalah perilaku white-hat Kontrak pintar pGALA baru akan diterapkan pada 9 November dan token baru akan didistribusikan 1:1 kepada pengguna yang terkena dampak yang memenuhi syarat
Bullish
Kasar
Nov 04
Beosin: Kesalahan konfigurasi jembatan pNetwork menyebabkan pGALA mengeluarkan lebih dari 55 miliar
Bullish
Kasar
Nov 04
Kontrak pGALA di BNB Chain diserang, dan pNetwork mengatakan akan menerapkan ulang kontrak tersebut
Bullish1
Kasar

Lagi

Berita lainnya tentang pgala

Pengumuman Pencetakan Ulang Token PGALA di Jaringan TRON
Kunci pribadi pemilik (Admin kontrak pGALA) telah diungkapkan di Github.
OthersNov 08, 2022 10:09 pagi

Lagi

SlowMist: Akar penyebab insiden pGALA adalah bahwa teks biasa dari kunci privat bocor di GitHub

Berita lainnya tentang pgala

Berita lainnya tentang pgala

Pengumuman Pencetakan Ulang Token PGALA di Jaringan TRON