وفقًا لـ Slow Mist ، في 4 نوفمبر ، قام عنوان على BNB Chain بسك أكثر من 1 مليار دولار أمريكي من رموز pGALA من فراغ ، وباعها من خلال PancakeSwap لتحقيق ربح ، مما تسبب في انخفاض GALA بأكثر من 20٪ في فترة قصيرة. فترة من الزمن. نتائج تحليل SlowMist كالتالي: 1. يستخدم عقد pGALA نموذج وكيل شفاف (وكيل شفاف) ، والذي له ثلاثة أدوار مميزة ، وهي المسؤول ، DEFAULT_ADMIN_ROLE و MINTER_ROLE. 2. يُستخدم دور المسؤول لإدارة ترقية عقد الوكيل وتغيير عنوان المسؤول لعقد الوكيل. يُستخدم دور DEFAULT_ADMIN_ROLE لإدارة الأدوار ذات الامتيازات في المنطق (مثل: MINTER_ROLE) ، ويدير دور MINTER_ROLE سلطة سك العملة الرمزية لـ pGALA. 3. في هذه الحالة ، يتم تحديد دور المسؤول لعقد وكيل pGALA كعنوان عقد proxyAdmin للوكيل الشفاف عند نشر العقد ، ويتم تحديد الأدوار DEFAULT_ADMIN_ROLE و MINTER_ROLE ليتم التحكم فيها بواسطة pNetwork أثناء التهيئة. يحتوي عقد proxyAdmin أيضًا على دور المالك ، وهو عنوان EOA ، ويمكن للمالك ترقية عقد pGALA من خلال proxyAdmin. 4. ومع ذلك ، وجد فريق أمان SlowMist أن النص العادي للمفتاح الخاص لعنوان مالك عقد proxyAdmin قد تم تسريبه على Github ، لذلك يمكن لأي مستخدم يحصل على هذا المفتاح الخاص التحكم في عقد proxyAdmin لترقية عقد pGALA في أي وقت . 5. تم استبدال عنوان مالك عقد proxyAdmin قبل 70 يومًا (28 أغسطس 2022) ، ويشتبه في تعرض مشروع آخر pLOTTO يديره للهجوم. 6. نظرًا لتصميم البنية للوكيل الشفاف ، لا يمكن بدء تغيير دور المسؤول لعقد الوكيل pGALA إلا من خلال عقد proxyAdmin. لذلك ، بعد فقدان إذن المالك لعقد proxyAdmin ، يكون عقد pGALA بالفعل في خطر التعرض للهجوم في أي وقت. باختصار ، السبب الجذري لحادث pGALA هو أن المفتاح الخاص للمالك للدور الإداري لعقد الوكيل pGALA قد تم تسريبه على Github ، وتم استبدال عنوان مالكه بشكل ضار منذ 70 يومًا ، مما أدى إلى تعرض عقد pGALA للخطر من التعرض للهجوم في أي وقت.
Others