Gala Games colpita con un exploit da $23 milioni: “Abbiamo sbagliato”

Gaia Tommasi
| 4 min read

gala Games

Gala Games, un’importante piattaforma di gaming blockchain, ha subito una violazione della sicurezza che ha portato alla vendita non autorizzata di 600 milioni di token GALA, per un valore di 23 milioni di dollari. L’amministratore delegato Eric Schiermeyer ha confermato che l’incidente è stato causato da controlli inadeguati.

L’exploit è avvenuto ieri 20 maggio alle ore 19:32 UTC (21:32 ora italiana). Un hacker ha ottenuto l’accesso a un indirizzo di amministrazione di Gala Games, consentendogli di “mintare” 5 miliardi di nuovi token GALA, per un valore di circa 200 milioni di dollari. L’hacker ha poi venduto 600 milioni di questi token sull’exchange  decentralizzato Uniswap.

Non è la prima volta che Gala Games subisce una violazione della sicurezza. Nel 2021, la società ha perso 130 milioni di dollari a causa di un exploit simile.

Gala Games: “Abbiamo sbagliato”


L’analista @devops199fan è stato il primo a segnalare l’attacco hacker, notando l’improvvisa creazione di un gran numero di token GALA. Dopo la segnalazione, Gala Games ha preso diverse misure per mitigare i danni.

La piattaforma ha bloccato il wallet compromesso, impedendo all’hacker di vendere i token rimanenti. Gala Games ha identificato e rimosso l’accesso non autorizzato al contratto GALA, assicurando alle parti interessate che il suo contratto di Ethereum è sicuro e non compromesso.

Inoltre, l’amministratore delegato Schiermeyer ha annunciato su X che i 4,4 miliardi di token rimanenti sono stati resi invendibili e eliminati per evitare ulteriori exploit. La società sta anche collaborando a stretto contatto con l’FBI, il Dipartimento di Giustizia degli Stati Uniti e le autorità internazionali per indagare sull’incidente e arrestare i responsabili.

“Abbiamo avuto un incidente che ha portato alla vendita non autorizzata di 600 milioni di token GALA e alla distruzione effettiva di 4,4 miliardi di token. Abbiamo sbagliato i nostri controlli interni. Non sarebbe dovuto accadere e stiamo prendendo provvedimenti per garantire che non si ripeta”, ha dichiarato Schiermeyer.

 

Dopo l’exploit, il token GALA ha subito un brusco crollo ed ha toccato un minimo di 0,038 dollari, con un calo del 20% rispetto al suo massimo giornaliero. Secondo CoinGecko, il token è riuscito in parte a recuperare, salendo fino a 0,041 dollari.

L’exploit è avvenuto in un momento delicato per Gala Games. La società è già alle prese con una battaglia legale interna tra Schiermeyer e il co-fondatore Wright Thurston, che si accusano a vicenda di cattiva gestione e furto.

Nonostante le difficoltà, Gala Games ha assicurato ai suoi  utenti e investitori che sta implementando controlli interni più rigidi per prevenire altri attacchi  e che sta continuando ad impegnarsi per rimanere un piattaforma sicura per il gioco blockchain.

Milioni di dollari rubati negli exploit


Il 14 maggio, Sonne Finance, un protocollo di lending, ha subito un exploit da 20 milioni di dollari, con un impatto sugli asset crypto, tra cui WETH e USDC. Sonne Finance ha messo in pausa tutti i mercati su Optimism e ha iniziato un’indagine con Cyvers.

Nonostante gli sforzi per recuperare i fondi e l’offerta di una ricompensa, l’hacker ha spostato parte degli asset rubati in un nuovo wallet e potrebbe riciclarli attraverso un protocollo di privacy come Tornado Cash.

Secondo quanto riportato dall’analista on-chain ZachXBT, anche l’exchange crypto Rain potrebbe aver subito un  exploit il 29 aprile, col trasferimento di 14,1 milioni di dollari in diverse crypto a un wallet sospetto.

L’exploit ha provocato forti deflussi dai wallet Bitcoin, Ethereum, Solana e XRP dell’exchange. I fondi rubati sono stati rapidamente scambiati con Bitcoin ed Ethereum e trasferiti a indirizzi specifici su queste chain. In particolare, l’indirizzo Ethereum contiene attualmente circa 1.881 ETH, per un valore di 5,5 milioni di dollari, mentre l’indirizzo di Bitcoin contiene 137,9 BTC, per un valore di 8,6 milioni di dollari.

Secondo i dati di Arkham Intelligence, i fondi sono stati rintracciati attraverso vari wallet multi-firma di Bitgo, ma non è stato trovato un collegamento diretto con Rain. Nonostante ciò, si sono verificati degli scambi, con oltre 590 ETH, 20 miliardi di Shiba Inu, 12.500 Chainlink, 240.000 dollari in Tether e 500.000 dollari in USD Coin convertiti in ETH sul DEX Uniswap. Gli scambi sono stati effettuati insieme a fondi aggiuntivi provenienti da un hot wallet di Binance.

Anche Pike Finance, un protocollo di lending DeFi, ha subito un exploit da 1,6 milioni di dollari a causa di una vulnerabilità dello smart contract. I fondi sono stati sottratti dalle chain di Ethereum, Arbitrum e Optimism nel corso di tre giorni.

 

Leggi anche: