O projeto de jogos em Web3, Gala Games, foi explorado por um invasor desconhecido, descrito como um endereço administrativo comprometido ou desonesto. O invasor cunhou 5 bilhões de tokens GALA, no valor de mais de US$ 200 milhões. O incidente de segurança foi contido e a carteira afetada foi congelada.
A equipe também afirmou que o exploit foi um incidente isolado e que as autoridades policiais estão envolvidas na identificação do perpetrador.
Incidente isolado
O exploit na Gala Games resultou na venda não autorizada de 600 milhões de tokens, avaliados em US$ 29 milhões na época, através da exchange descentralizada Uniswap. De acordo com o desenvolvedor Solidity 0xquit, o invasor poderia criar mais 12 bilhões de tokens antes de atingir o limite máximo.
No entanto, o endereço explorado foi bloqueado, impedindo novas ações. Para cunhar ou roubar mais tokens, o agente mal-intencionado precisaria obter acesso a um endereço de administrador diferente.
O CEO da Gala Games, Eric Schiermeyer, usou a plataforma X (antiga Twitter) para revelar que o exploit foi identificado em 45 minutos. Em seguida, a equipe garantiu e removeu o acesso não autorizado ao contrato GALA.
Entretanto, essa ação não impediu a queda de quase 20% no preço do GALA em 21 de maio, de US$ 0,048 para US$ 0,039. O token, desde então, se estabilizou.
CEO da Gala Games assume lapso de segurança
O executivo admitiu que a Gala Games falhou em implementar controles internos adequados, o que levou a este incidente lamentável que nunca deveria ter ocorrido. Schiermeyer afirmou que a equipe acredita ter identificado o culpado por trás do ataque e agora está trabalhando em estreita colaboração com o FBI, o Departamento de Justiça e autoridades internacionais para investigar e resolver o problema.
Além disso, o CEO destacou a questão urgente da distribuição diária de tokens, afirmando que a comunidade decidirá por meio de uma votação dos nós como proceder com o tratamento desse aspecto.
“Erramos em nossos controles internos… Isso não deveria ter acontecido e estamos tomando medidas para garantir que nunca mais aconteça. Acreditamos ter identificado o culpado e estamos trabalhando com o FBI, o Departamento de Justiça e uma rede de autoridades internacionais.”