داستان هک پلتفرم گالا گیمز و مینت غیرقانونی توکن GALA

گالا گیمز (Gala Games)،‌ یک پروژه بازی‌سازی مبتنی بر وب ۳، در تاریخ ۲۰ می (۳۱ اردیبهشت ۱۴۰۳)‌ با یک نفوذ امنیتی بسیار جدی مواجه شد. به گزارش بی این کریپتو، شخصی با سوءاستفاده از قراردادهای هوشمند این پلتفرم موفق شد تعداد ۵ میلیارد توکن بومی به ارزش تقریبی ۲۱۳ میلیون دلار را ضرب (مینت) کند. این واقعه جامعه کاربری این پلتفرم را در شوک فرو برده و بازار گمانه‌زنی‌ها در مورد این نفوذ امنیتی را داغ کرده است.

هک پلتفرم گالا گیمز: جزییات حادثه و واکنش کاربران

ظاهرا این شخص بعد از نفوذ به قراردادهای هوشمند بی‌درنگ ۵۹۲ میلیون توکن گالا (GALA) را به ۵،۹۵۳ اتریوم (ETH) ،معادل ۲۱.۸ میلیون دلار تبدیل کرده است. تیم اجرایی شرکت گالا گیمز بعد از آگاهی از این اتفاق به‌سرعت برای جلوگیری از آسیب‌های بیشتر وارد عمل شدند و در قدم اول با از کار انداختن آدرس کیف پول این هکر، از برداشت توکن‌های بیشتر توسط او ممانعت کردند.

در بیانیه‌ای که بعد از این حمله منتشر شد، بر تعهد این شرکت برای حفظ شفافیت و امنیت این پلتفرم تاکید شده است. بنیان‌گذاران این پروژه به کاربران خود اطمینان دادند که در حال حاضر با همکاری نیروهای پلیس به دنبال شناسایی و دستگیری افراد دخیل در این حمله سایبری هستند.

در این بیانیه آمده است:

(این حمله) یک حادثه غیرمعمول بود که ریشه آن شناسایی و برطرف شده است. ما یافته‌های بعدی را همزمان با پیشرفت تحقیقات به اطلاع شما خواهیم رساند و برای جلوگیری از اتفاقات مشابه در آینده هر کاری را که لازم باشد، انجام می‌دهیم.

گالا گیمز آدرس کیف پول فرد مهاجم را مسدود کرد. منبع: Etherscan

اریک شیِرمِیر (Eric Schiermeyer)، مدیرعامل گالا گیمز، از بروز این حادثه به‌شدت اظهار تاسف کرد. او در ادامه به این نکته اشاره کرد که مشکل اصلی در عرض ۴۵ دقیقه شناسایی و برطرف شده است. او همچنین تاکید کرد که قرارداد هوشمند اتریوم آنها برای توکن گالا (GALA) در یک کیف پول چند‌امضایی امن و غیرقابل‌نفوذ ذخیره شده است.

شیرمیر در ادامه توضیحات خود گفت:

کنترل‌های داخلی ما به هم خورده بود. این اتفاقی بود که نباید می‌افتاد و ما گام‌های لازم برای جلوگیری از تکرار این اتفاق را برداشته‌ایم. ما خرابکار اصلی این حمله را شناسایی کرده‌ایم و در حال حاضر با همکاری دفتر بازرسی فدرال (FBI)، وزارت دادگستری (DOJ) و شبکه‌ای از سازمان‌های بین‌المللی به دنبال دستگیری او هستیم.

درمورد مشکل توزیع روزانه توکن‌ها، ما به زودی برای تعیین چگونگی برطرف کردن این مشکل یک رای‌گیری از نودهای شبکه را برگزار خواهیم کرد. طبق معمول همیشه این جامعه کاربری است که روش انجام کار را مشخص خواهد کرد.

شیرمیر اعتراف کرد که مشکل پیش‌آمده در کنترل‌های داخلی این پروژه با یافته‌های یکی از توسعه‌دهندگان اصلی زبان‌برنامه‌نویسی سالیدیتی (Solidity) که با نام «Quit» شناخته می‌شود، همخوانی دارد. به گفته این برنامه‌نویس خبره، آدرس کیف پول فرد خرابکار دارای حق دسترسی ادمین (مدیریتی) بوده است و از این طریق موفق شده است کنترل قراردادهای هوشمند را به دست بگیرد. کوییت (Quit) یکی از طرفداران مسدود کردن قراردادهای کیف پول‌های با سطح دسترسی ادمین است که اجازه مینت کردن بدون قاعده توکن‌ها را به هولدر می‌دهد.

بعد از این حمله قیمت توکن گالا (GALA) از ۰.۰۴۷ به ۰.۰۳۸ دلار رسید؛ اما در زمان نگارش این خبر قیمت گالا (GALA) توانست کمی خود را بازیابی کند و به ۰.۰۴۱ دلار برسد.

نمودار قیمت روزانه گالا (GALA) - منبع: BeInCrypto

با وجود بازایابی قیمت گالا، هنوز فعالیت‌های خرابکارانه زیادی در جامعه کاربران این پلتفرم به چشم می‌خورد. در این میان بعضی از افراد با جا زدن خودشان به جای نمایندگان رسمی شرکت گالا گیمز و ارسال لینک‌های مخرب در قالب مهاجرت به یک پلتفرم جدید، سعی دارند از آب گل‌آلود ماهی بگیرند. به همین دلیل کاملا به این مسئله توجه کنید که هنگام بررسی اخبار از شبکه‌هایی نظیر توییتر، حتما حساب کاربری اصلی را دنبال کنید.