Saltar al contenido
Est. MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archivo de incidentes de seguridad en criptomonedas — hackeos, exploits, fallos de puentes y rug pulls, documentados con evidencia on-chain.

Expediente № 193Compromiso de clave privada

Acuñación admin en Gala Games

Un atacante usó un rol MINTER inactivo para acuñar 5 B GALA (216 M$), vendió 21,8 M$ antes del blacklist; los 4,4 B restantes están efectivamente quemados.

Fecha
Víctima
Gala Games
Cadena(s)
Ethereum
Estado
Parcialmente recuperado

El 20 de mayo de 2024, un atacante acuñó 5.000 millones de tokens GALA —un nominal de 216 millones de dólares a precio de mercado— desde un rol MINTER inactivo en el contrato del token Gala que no se había usado en más de 180 días. El atacante vendió 592 millones de tokens por 21,8 M$ en ETH antes de que Gala Games hiciera blacklist a la dirección; los 4,4 B de tokens restantes quedaron varados.

Qué ocurrió

El contrato del token GALA en Ethereum exponía un rol MINTER que podía crear nuevos tokens. Gala Games había concedido este rol a varias direcciones administrativas a lo largo de la historia del contrato. Una de esas direcciones no se había usado en más de 180 días y probablemente había sido olvidada por el equipo, o su acceso había sido comprometido silenciosamente.

El atacante, tras haber adquirido esa clave inactiva, llamó a mint() y produjo 5.000 millones de GALA directamente a una dirección que controlaba. Inmediatamente enrutó los tokens recién acuñados por DEXs, cambiando agresivamente a ETH:

  • ~592 M de GALA vendidos al mercado en los siguientes 45 minutos
  • ~21,8 M$ en ETH neteados de las ventas antes de que el movimiento disparara alertas y el equipo de GALA interviniera.

Consecuencias

  • Gala Games identificó la acuñación no autorizada y revocó el rol MINTER de la dirección comprometida en 45 minutos desde la primera venta, bloqueando los 4.400 millones de GALA restantes del atacante en su wallet, donde no pueden transferirse ni venderse.
  • Los tokens restantes los describe Gala como "efectivamente quemados": existen en el suministro pero son inaccesibles.
  • El precio de GALA cayó alrededor del 20% durante el incidente, recuperándose parcialmente en los días siguientes conforme se entendió la dinámica de quema.
  • Gala Games está en litigio con varias partes relacionadas con el incidente, incluido su operador de puente pNetwork.

Por qué importa

Gala Games es un caso de estudio sobre higiene de roles en el tiempo: las direcciones privilegiadas que se autorizan una vez tienden a permanecer autorizadas salvo que alguien las revoque explícitamente. La buena práctica es roles privilegiados con expiración (mediante contratos timelock que auto-revocan tras inactividad), rotación de claves admin en un calendario fijo y auditorías periódicas de cada dirección con capacidades MINTER/UPGRADE/ADMIN. Gala pagó 21,8 M$ por lo que es esencialmente una autorización olvidada.

Fuentes y evidencia on-chain

  1. [01]theblock.cohttps://www.theblock.co/post/295520/gala-games-hacked-gala-token-plummets
  2. [02]rekt.newshttps://rekt.news/gala-games-rekt
  3. [03]beincrypto.comhttps://beincrypto.com/gala-games-exploit-hacker-mints-214-million/

Registros relacionados