GameFi 項目 Gala Games 上周(4 日凌晨)發生的「白帽烏龍事件」有新進展。據區塊鏈安全公司 SlowMist 昨 (7) 日晚間發布的推特內容指,Gala Games 的代幣漏洞似乎是由於 pGALA 代理合約中「管理人」擁有權的私鑰被公開在 GitHub 上所致。

圖片來源:SlowMist 推特

SlowMist 提到,負責處理 Gala Games 在 BNB 鏈跨鏈操作的 pNetwork 在其 pGALA 智能合約中擔當重要角色。據 SlowMist 的研究分析指出,pGALA 智能合約使用了可升級透明代理(Transparent Proxy)模型,當中有名為 Admin, DEFAULT_ADMIN_ROLE 和 MINTER_ROLE 三大角色設定,Admin 角色用於管理代理合約的 Admin 地址的升級和做變更,DEFAULT_ADMIN_ROLE 角色用於管理邏輯中的各種特權角色(例如: MINTER_ROLE),而 MINTER_ROLE 角色管理 pGALA 代幣鑄造權限。

SlowMist 解釋事件的起因時表示,「在此事件中,pGALA 代理合約的 Admin 角色在合約部署後被指定為透明代理的 proxyAdmin 地址,同時,DEFAULT_ADMIN_ROLE 和 MINTER_ROLE 角色在初始時是由 pNetwork 控制。 proxyAdmin 合約由擁有者角色控制,它是一個 EOA 地址,可以通過 proxyAdmin 升級 pGALA 合約。但是,proxyAdmin 合約擁有者地址的私鑰在 Github 上被公開,任何訪問該私鑰的用戶都可以隨時控制 proxyAdmin 合約並升級 pGALA 合約。這導致 proxyAdmin 合約的所有者地址在 8 月 28 日被替換了。」

由於「透明代理」的性質,只有 proxyAdmin 合約可以發起更換 pGALA 代理合約的 Admin 角色,一旦 proxyAdmin 合約的擁有者權限被有心人加以利用,pGALA 合約就很容易受到攻擊。

pNetwork 在「白帽烏龍事件」事件發生當天發文解釋稱,他們實際上是在「自己攻擊自己」,目的是為了防止任何外部攻擊。pNetwork 表示,「我們注意到,pGALA 已不再安全,因此發動了白帽攻擊,以防止 pGALA 被惡意利用。」據 pNetwork 說法,這次事件主要是因為「跨鏈橋配置錯誤」所致。

但「跨鏈橋配置錯誤」所指的是什麼呢?SlowMist 的研究結果給了個參考。

Huobi Global 交易平台針對這次混亂事件於 6 日發布了一則聲明,除提出各種質疑外,還強調「在本次問題處理過程中,GALA 與 pNetwork 團隊均未通過正常溝通程序與 Huobi Global 確認安全可執行性,自作主張惡意利用管理權限在 BNB Chain 上增發超過 556 億 GALA 代幣並帶頭進行拋售。GALA 與 pNetwork 團隊完全可以選擇其他更為安全的方式修復漏洞,避免悲劇發生,可他們選擇掩蓋事實,在五十分鐘內執行 556 億大規模的 GALA 增發攻擊行動,是惡意獲利的黑客行徑,這無異於對無辜用戶和交易平台進行恐怖襲擊,整個行業都因此遭受了巨大打擊」,「鑑於 pNetwork 關於 GALA 事件未經確認的單方面聲明與事實存在嚴重背離,對 Huobi Global 用戶資產安全造成重大傷害,以及項目對自身責任尋求完全逃避,」Huobi Global 表示,將率先團結和代表平台內全部受損用戶,並聯動全球合作夥伴一起,採取包括集體訴訟、報案在內的一切法律手段調查和刑事追究 pNetwork 主要管理者在此次事件中應盡的全部責任。

Huobi Global 於 7 日再發表通知稱,由於 pGALA 代理合約的 Admin 角色擁有權私鑰在 Github 上被洩漏,從而丟失合約配置的權限,導致 pGALA 合約處於隨時可被攻擊的風險中,存在巨大安全隱患。「為了保證平台上 PGALA 持有者的利益,Huobi Global 決定以平台用戶實際持有的 pGALA 總量:6,211,014,582.57982347 作為總發行量,在 TRON 網絡重新鑄造 100% 去中心化、100% 流通的 PGALA Meme Token(PGALA),新的合約地址為:TF7Ncj2PwKYxVthJaCZCRS98XgnXhJ347h 合約更換完成之後,PGALA 的充提也將於 2022-11-07 23:00:00(GMT +8)開放,稅費燃燒機制將不受任何影響,後續銷毀也將在新的合約上進行,銷毀地址為:T9yD14Nj9j7xAB4dbGeiX9h8unkKHxuWwb。」


熱門市場動態與新聞傳送門:

區塊客致力於發掘和整理各種與區塊鏈技術有關的內容,只要與區塊鏈或區塊客網站有關的合作和/或建議,我們都非常歡迎。請您發電郵至 [email protected] 與我們聯繫。