Gala a fait paniquer sa communauté la semaine dernière suite à une suspicion de vol de cryptomonnaies. Selon un rapport sur l’incident, le projet aurait bel et bien été compromis.
Le projet Gala aurait bel et bien été exploité
Dans un secteur où les vols et les exploitations de failles sont monnaie courante, en particulier lorsque les marchés sont plus favorables, chaque transaction suspecte fait l’objet de suspicions. Au cours de la semaine dernière, le projet Gala en a fait les frais lorsque le cours de son jeton s’est effondré de 27 % après que 2 milliards de jetons GALA aient été frappés sans crier gare. Le phénomène avait généré beaucoup de spéculation avant que ces dernières ne soit balayées d’un revers de la main par l’équipe dirigeante de Gala Games.
En effet, cette génération de nouveaux jetons aurait été effectuée par pNetwork au cours d’une opération de séchage de pools et de renforcement de sécurité. L’entreprise en question a également affirmé qu’elle avait mal configuré son pont. Selon un rapport de la société de sécurité blockchain SlowMist, c’est cette option qui est à privilégier mais les suspicions des utilisateurs ce sont également révélées vraies… du mois en partie. Dans une publication Twitter, l’entreprise fait part de ses résultats de l’analyse de l’incident et, pour elle, Gala aurait bel et bien été exploité.
Le contrat sur lequel opère Gala disposerait d’une adresse administrateur accompagnée de deux autres subordonnées, dont l’une permettrait de contrôler la frappe des jetons. Cependant, après une erreur de configuration, cette adresse aurait été communiquée en clair sur Github et un individu aurait donc été en capacité de la modifier. Ce serait d’ailleurs ce qu’il se serait passé et un autre projet aurait également été victime d’un même mode opératoire.
Aucun piratage ne serait à déplorer
Pour autant, la conclusion de cette affaire reste toujours aussi floue. L’équipe de Gala Games n’est pas revenue dessus tandis que pNetwork continue de maintenir qu’aucune perte de fonds n’est à déplorer à la suite de cet incident. Ainsi, si l’on en croit ses dires, le projet Gala n’aurait pas été volé bien que l’adresse admin du contrat ait bel et bien été modifiée. L’analyse effectuée par SlowMist serait donc exacte et quelqu’un aurait bien récupéré l’adresse sur Github. Ainsi, les jetons GALA auraient pu être utilisés à volonté et revendus sur divers échanges mais, pour une raison que l’on ignore encore, l’attaquant ne serait pas passé à l’acte.
Dans sa dernière notice, pNetwork confirme donc mettre un clap de fin à cette affaire et continuer de renforcer ses protocoles afin qu’un tel incident ne se reproduise plus. En outre, le principal intéressé serait resté l’administrateur du contrat pendant plusieurs heures mais le problème aurait été réglé rapidement.
Le protocole pNetwork met en œuvre une variété de mesures de sécurité sur ses opérations inter-chaînes visant à empêcher les piratages entraînant une perte de fonds, mais pGALA n’étant plus sous le contrôle exclusif de pNetwork, l’attaquant a peut-être tenté de racheter des jetons pGALA nouvellement créés et non garantis et donc aurait pu voler la garantie GALA sur Ethereum. Heureusement, cela ne s’est pas produit. […] Aucun piratage n’a été effectivement effectué par celui qui détient actuellement la propriété de ce contrat intelligent (désormais, l’« attaquant »), mais la situation a mis en évidence un risque de sécurité élevé qui devait être rapidement atténué.
Extrait de la notice de pNetwork à propos de l’incident du projet Gala
Trusted
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.
