本月4日时多链路由协议pNetwork声称,因为发现了pGALA代币跨链桥合约漏洞,协同白帽黑客,大量增发BNBChain上的pGALA代币,全数依当时价值约为20亿美元;pNetwork称意图是要将Pancakeswap流动性池内的流动性榨干,pGALA价值迅速暴跌。
事发当天,因多数持有人并未事先得知,害得担忧跨链衍生品遭黑客攻击,纷将手上的GALA大量抛售导致暴跌,虽事后pNetwork和Gala Games团队皆出面澄清此事,但后续引起交易所强烈反弹。
火币指控pNetwork:不是白帽行为
其中火币交易所在6日公告声称,该事件对自家用户造成巨大损失,指pNetwork精心策划了该次「不是白帽行为」,而是以盈利为最终目的的骇客行为,强调pNetwork在漏洞存在67天后,并无与交易所沟通就通过大量铸造代币来进行攻击,并以多个相关地址进行有计划的行动,赚取数百万至千万美元。
火币落语极重,甚至提出要举报pNetwork以刑事犯罪处理:我们将带头召集和代表火币的受害者,我们将与全球合作伙伴一起采取一切法律手段,包括集体诉讼和对警方提起报告,调查和追究刑事指控,来反对pNetwork的犯罪。
我们敦促所有利用安全漏洞的攻击者返还不正当的收益。火币愿意提出100万美元赏金来支付攻击者,并且不会对他们采取任何法律行动。
pNetwork随后反驳火币的说法,并称事后分析中GALA跨链桥没有发生任何资金损失,以太坊上所有GALA都是安全的:我们强烈谴责火币对pNetwork的不实指控,并将采取相应的法律行动。我们有证据证明pNetwork的行为是善意的,所有的行动都是事先与Gala Games达成共识的。
慢雾科技指出代币漏洞
专精区块链资安领域的慢雾科技(Slow Mist)在7日指出,pGALA跨链桥上的漏洞应是GitHub上的安全密钥公开泄漏所导致。
慢雾科技解释,8月合约中DEFAULT_ADMIN_ROLE和MINTER_ROLE权限预设上都由pNetwork控制。同时,proxyadmin则连结到外部地址,负责随时升级pGALA合约。
但跨链合约上的DEFAULT_ADMIN_ROLE私钥却泄漏在GitHub上,这个最高权限能改写合约所有ROLE设定,也就是说,Proxy Admin一但被窜改,就能让外部人士自由篡改整个pGALA合约。这个漏洞在8月28日时首次被利用,Proxy Admin地址当时已被窜改,让pGALA陷入随时被攻击的危险。
以上理由导致了pNetwork在4日利用这个漏洞大量铸造代币,打算让pGALA流动性池自废武功,并重新部署一个全新合约,但后续也导致了与火币交易所的嫌隙。
