Aller au contenu
Fondé MMXXVIVol. VI · № 273RSS
Blockchain Breaches

Archive des incidents de sécurité dans les cryptomonnaies — piratages, exploits, défaillances de ponts et rug pulls, documentés avec des preuves on-chain.

Dossier № 193Compromission de clé privée

Mint admin de Gala Games

Un attaquant a pris le contrôle d'un rôle MINTER dormant pour minter 5 Md GALA (216 M$), vendu 21,8 M$ avant d'être blacklisté ; 4,4 Md tokens bloqués.

Date
Victime
Gala Games
Chaîne(s)
Ethereum
Statut
Partiellement récupéré

Le 20 mai 2024, un attaquant a minté 5 milliards de tokens GALA — un nominal de 216 millions de dollars au prix de marché — depuis un rôle MINTER dormant sur le contrat du token Gala qui n'avait pas été utilisé depuis plus de 180 jours. L'attaquant a vendu 592 millions de tokens pour 21,8 M$ en ETH avant que Gala Games ne blackliste l'adresse ; les 4,4 milliards de tokens restants ont été bloqués.

Ce qui s'est passé

Le contrat du token GALA sur Ethereum exposait un rôle MINTER qui pouvait créer de nouveaux tokens. Gala Games avait accordé ce rôle à plusieurs adresses administratives au cours de l'historique du contrat. L'une de ces adresses n'avait pas été utilisée depuis 180+ jours et avait probablement été oubliée par l'équipe — ou son accès avait été silencieusement compromis.

L'attaquant, ayant acquis cette clé dormante, a appelé mint() et produit 5 milliards de GALA directement vers une adresse qu'il contrôlait. Il a immédiatement routé les tokens fraîchement mintés à travers des DEX, swappant agressivement en ETH :

  • ~592M GALA vendus sur le marché en 45 minutes.
  • ~21,8 M$ en ETH récupérés des ventes avant que le mouvement ne déclenche les alertes et que l'équipe GALA n'intervienne.

Conséquences

  • Gala Games a identifié le mint non autorisé et révoqué le rôle MINTER de l'adresse compromise en 45 minutes suivant la première vente — verrouillant les 4,4 milliards de GALA restants de l'attaquant dans son wallet, où ils ne peuvent ni être transférés ni vendus.
  • Les tokens restants sont décrits par Gala comme « effectivement burnés » — ils existent dans l'offre mais sont inaccessibles.
  • Le prix GALA a chuté d'environ 20 % pendant l'incident, récupérant partiellement les jours suivants à mesure que la dynamique de burn était comprise.
  • Gala Games est en litige avec plusieurs parties liées à l'incident, dont son opérateur de pont pNetwork.

Pourquoi c'est important

Gala Games est une étude de cas pour l'hygiène des rôles dans le temps : les adresses privilégiées qui sont une fois autorisées tendent à rester autorisées sauf si quelqu'un les révoque explicitement. La best practice est les rôles privilégiés expirants (via des contrats timelock qui auto-révoquent après inactivité), la rotation des clés admin selon un calendrier fixe, et la conduite d'audits périodiques de chaque adresse avec capacités MINTER/UPGRADE/ADMIN. Gala a payé 21,8 M$ pour ce qui est essentiellement une autorisation oubliée.

Sources & preuves on-chain

  1. [01]theblock.cohttps://www.theblock.co/post/295520/gala-games-hacked-gala-token-plummets
  2. [02]rekt.newshttps://rekt.news/gala-games-rekt
  3. [03]beincrypto.comhttps://beincrypto.com/gala-games-exploit-hacker-mints-214-million/

Dépôts liés