元宇宙非小号金色财经交流群社区官网

「金色财经」安全公司:上周pNetwork增发GALA事件根本原因系私钥明文在GitHub泄露

浏览:314|时间:2022-11-07 18:30:35
「金色财经」11月7日,据慢雾区报道,上周pNetwork增发GALA事件的根本原因是私钥明文GitHub泄露。在pGALA合同使用透明代理(TransparentProxy)模型有三个特权角色,即Admin、DEFAULT_ADMIN_ROLE与MINTER_ROLE。Admin管理代理合同的升级和更改代理合同的角色Admin地址,DEFAULT_ADMIN_ROLE管理逻辑中的特权角色(如:MINTER_ROLE),MINTER_ROLE角色管理pGALA代币铸造权限。在此事件中,pGALA代理合约的Admin角色在合同部署时被指定为透明代理proxyAdmin合约地址,DEFAULT_ADMIN_ROLE与MINTER_ROLE角色初始化时指定的原因pNetwork控制。proxyAdmin合约还存在owner角色,owner角色为EOA地址,且owner可以通过proxyAdmin升级pGALA合约。但是慢雾安全团队发现了proxyAdmin合约的owner地址的私钥明文在Github泄漏,所以任何获得这个私钥的用户都可以控制它proxyAdmin合同随时升级pGALA合约。不幸的是,proxyAdmin合约的owner地址在70天前(2022-08-28)被替换,另一个项目由其管理pLOTTO疑似已被攻击。由于透明代理的架构设计,pGALA代理合约的Admin只能通过角色替换proxyAdmin合约发起。因此在proxyAdmin合约的owner权限丢失后pGALA合同随时都有被攻击的风险。

ga gala 公司 明文 私钥

    币圈相关新闻
本站分享的区块链、Web3.0元宇宙、NFT、数字藏品最新消息等相关数藏知识快讯NFR资讯新闻,与金色财经非小号巴比特星球前线Btc中国官网无关,本站资讯观点不作为投资依据,市场有风险,投资需谨慎!不提供社区论坛BBS微博微信交流群等相关币圈信息发布!
本站内容来源于互联网,如存在侵权及违规内容投诉邮箱( [email protected] )
皮卡丘 2021-2024© YangKaTie.Com All