وفقًا لمنشور جديد أصدرته شركة SlowMist لأمان بلوكتشين يوم ٧ نوفمبر، يبدو أن استغلال التوكن الأسبوع الماضي الذي أثر على مشروع تمويل الألعاب "غالا غيمز" نتج عن تسرب عام لمفاتيح الأمان القابلة للتطبيق على غيتهاب. وحسبما أوضحت SlowMist، فإن pNetwork، وهو جسر التشغيل البيني عبر السلاسل الذي تستخدمه غالا غيمز على بي إن بي تشين، كان له ثلاثة أدوار مميزة في عقده الذكي pGALA.

"يتم استخدام دور المسؤول لإدارة الترقيات والتغييرات على عنوان المسؤول لعقد الوكيل. ويتم استخدام دور DEFAULT_ADMIN_ROLE لإدارة الأدوار المميزة المتنوعة في المنطق (على سبيل المثال: MINTER_ROLE)، ويدير دور MINTER_ROLE سلطة صك توكن pGALA."

تابعت SlowMist لتشرح أن كل من الأدوار DEFAULT_ADMIN_ROLE وMINTER_ROLE تم التحكم فيها بواسطة pNetwork أثناء التهيئة. وفي الوقت نفسه، كان عقد إدارة الوكيل عبارة عن عنوان مملوك خارجيًا مسؤولًا عن ترقية عقد pGALA. ومع ذلك، نشرت الشركة لقطة شاشة تزعم أن المفتاح الخاص للنص العادي لعنوان مالك المسؤول الوكيل قد تم كشفه وعرضه للجمهور على GitHub. وبالتالي، يمكن لأي مستخدم لديه حق الوصول إلى المفتاح الخاص التلاعب بعقد pGALA في أي وقت. في ٢٨ أغسطس، تم استبدال مالك عقد مشرف الوكيل، مما جعل البروتوكول عرضة للهجوم.

تم استغلال جسر توكنات غالا غيمز يوم ٣ نوفمبر بعد أن بدا أن عنوان محفظة واحد قد سك أكثر من ٢ مليار دولار في توكنات GALA من العدم وألغيت التوكنات في بورصة بانكيك سواب اللامركزية. تم استنزاف حوالي ١٢٩٧٧ BNB، بقيمة ٤,٥ ملايين دولار، من مجمع السيولة.