流量密碼 提供 科技、娛樂、流行、穿搭、影劇、遊戲、電競、開箱、資訊、正妹網紅女神 等各類新聞資訊等,發燒話題永不退流行,讓您第一手快速掌握,快速更新文章及最新消息的發布就是我們的宗旨,只要隨時關注流量密碼資訊就是掌握 流量密碼。
流量密碼推播群,掌握第一手資訊
GameFi 項目 Gala Games 上周(4 日凌晨)發生的「白帽烏龍事件」有新進展。據區塊鏈安全公司 SlowMist 昨 (7) 日晚間發布的推特內容指,Gala Games 的代幣漏洞似乎是由於 pGALA 代理合約中「管理人」擁有權的私鑰被公開在 GitHub 上所致。
圖片來源:SlowMist 推特
SlowMist 提到,負責處理 Gala Games 在 BNB 鏈跨鏈操作的 pNetwork 在其 pGALA 智能合約中擔當重要角色。據 SlowMist 的研究分析指出,pGALA 智能合約使用了可升級透明代理(Transparent Proxy)模型,當中有名為 Admin, DEFAULT_ADMIN_ROLE 和 MINTER_ROLE 三大角色設定,Admin 角色用於管理代理合約的 Admin 地址的升級和做變更,DEFAULT_ADMIN_ROLE 角色用於管理邏輯中的各種特權角色(例如: MINTER_ROLE),而 MINTER_ROLE 角色管理 pGALA 代幣鑄造權限。
SlowMist 解釋事件的起因時表示,「在此事件中,pGALA 代理合約的 Admin 角色在合約部署後被指定為透明代理的 proxyAdmin 地址,同時,DEFAULT_ADMIN_ROLE 和 MINTER_ROLE 角色在初始時是由 pNetwork 控制。 proxyAdmin 合約由擁有者角色控制,它是一個 EOA 地址,可以通過 proxyAdmin 升級 pGALA 合約。但是,proxyAdmin 合約擁有者地址的私鑰在 Github 上被公開,任何訪問該私鑰的用戶都可以隨時控制 proxyAdmin 合約並升級 pGALA 合約。這導致 proxyAdmin 合約的所有者地址在 8 月 28 日被替換了。」
However, the plaintext private key for the proxyAdmin contract’s owner address was exposed on Github, allowing any user with access to this private key to control the proxyAdmin contract and upgrade the pGALA contract at any time. pic.twitter.com/2UpVmnj2P8
— SlowMist (@SlowMist_Team) 2022 年 11 月 7 日
由於「透明代理」的性質,只有 proxyAdmin 合約可以發起更換 pGALA 代理合約的 Admin 角色,一旦 proxyAdmin 合約的擁有者權限被有心人加以利用,pGALA 合約就很容易受到攻擊。
pNetwork 在「白帽烏龍事件」事件發生當天發文解釋稱,他們實際上是在「自己攻擊自己」,目的是為了防止任何外部攻擊。pNetwork 表示,「我們注意到,pGALA 已不再安全,因此發動了白帽攻擊,以防止 pGALA 被惡意利用。」據 pNetwork 說法,這次事件主要是因為「跨鏈橋配置錯誤」所致。
但「跨鏈橋配置錯誤」所指的是什麼呢?SlowMist 的研究結果給了個參考。
Huobi Global 交易平台針對這次混亂事件於 6 日發布了一則聲明,除提出各種質疑外,還強調「在本次問題處理過程中,GALA 與 pNetwork 團隊均未通過正常溝通程序與 Huobi Global 確認安全可執行性,自作主張惡意利用管理權限在 BNB Chain 上增發超過 556 億 GALA 代幣並帶頭進行拋售。GALA 與 pNetwork 團隊完全可以選擇其他更為安全的方式修復漏洞,避免悲劇發生,可他們選擇掩蓋事實,在五十分鐘內執行 556 億大規模的 GALA 增發攻擊行動,是惡意獲利的黑客行徑,這無異於對無辜用戶和交易平台進行恐怖襲擊,整個行業都因此遭受了巨大打擊」,「鑑於 pNetwork 關於 GALA 事件未經確認的單方面聲明與事實存在嚴重背離,對 Huobi Global 用戶資產安全造成重大傷害,以及項目對自身責任尋求完全逃避,」Huobi Global 表示,將率先團結和代表平台內全部受損用戶,並聯動全球合作夥伴一起,採取包括集體訴訟、報案在內的一切法律手段調查和刑事追究 pNetwork 主要管理者在此次事件中應盡的全部責任。
Huobi Global 於 7 日再發表通知稱,由於 pGALA 代理合約的 Admin 角色擁有權私鑰在 Github 上被洩漏,從而丟失合約配置的權限,導致 pGALA 合約處於隨時可被攻擊的風險中,存在巨大安全隱患。「為了保證平台上 PGALA 持有者的利益,Huobi Global 決定以平台用戶實際持有的 pGALA 總量:6,211,014,582.57982347 作為總發行量,在 TRON 網絡重新鑄造 100% 去中心化、100% 流通的 PGALA Meme Token(PGALA),新的合約地址為:TF7Ncj2PwKYxVthJaCZCRS98XgnXhJ347h 合約更換完成之後,PGALA 的充提也將於 2022-11-07 23:00:00(GMT +8)開放,稅費燃燒機制將不受任何影響,後續銷毀也將在新的合約上進行,銷毀地址為:T9yD14Nj9j7xAB4dbGeiX9h8unkKHxuWwb。」
好文章出於 區塊客
