优惠论坛

标题: 慢雾：pNetwork增发GALA事件根本原因系私钥明文在GitHub泄露 [打印本页]

作者: 比推快讯 时间: 2022-11-7 19:17
比推消息，据慢雾区情报，上周pNetwork增发GALA事件的根本原因系私钥明文在GitHub泄露。在pGALA合约使用了透明代理（Transparent Proxy）模型，其存在三个特权角色，分别是Admin、DEFAULT_ADMIN_ROLE与MINTER_ROLE。
Admin角色用于管理代理合约的升级以及更改代理合约Admin地址，DEFAULT_ADMIN_ROLE角色用于管理逻辑中各特权角色（如：MINTER_ROLE），MINTER_ROLE角色管理pGALA代币铸造权限。
在此事件中，pGALA代理合约的Admin角色在合约部署时被指定为透明代理的proxyAdmin合约地址，DEFAULT_ADMIN_ROLE与MINTER_ROLE角色在初始化时指定由pNetwork控制。proxyAdmin合约还存在owner角色，owner角色为EOA地址，且owner可以通过proxyAdmin升级pGALA合约。
但慢雾安全团队发现proxyAdmin合约的owner地址的私钥明文在Github泄漏了，因此任何获得此私钥的用户都可以控制proxyAdmin合约随时升级pGALA合约。不幸的是，proxyAdmin合约的owner地址已经在70天前（2022-08-28）被替换了，且由其管理的另一个项目pLOTTO疑似已被攻击。由于透明代理的架构设计，pGALA代理合约的Admin角色更换也只能由proxyAdmin合约发起。因此在proxyAdmin合约的owner权限丢失后pGALA合约已处于随时可被攻击的风险中。

风险提示：本新闻涉及的内容仅供参考，不构成投资建议。依据发布的信息以及所表达的意见行事所造成的一切后果由行事者自负。文章链接

欢迎光临优惠论坛 (https://www.tcelue.ooo/)