Gala Games victime d’un second hack : 21 millions de $ partent en fumée

Gala Games est un studio de jeux vidéo spécialisé dans le Web3. Celui-ci propose divers jeux vidéo du type play-to-earn avec pour ambition de révolutionner l’expérience des utilisateurs. En parallèle, le projet dispose évidemment d’un jeton, le GALA, qui sert de monnaie dans leurs différents jeux. Il semblerait que le jeton serve également à rendre riches les hackers, car celui-ci vient d’être hacké pour la seconde fois.

Hack GALA : 200 millions de dollars créés à partir de rien

Le 20 mai, à 19h30, une transaction suspecte a été détectée sur le contrat du jeton GALA. En effet, pas moins de 5 milliards de jetons GALA ont été mint puis transférés vers une adresse externe.

Transaction de mint des 5 milliards de GALA.

Au total, cela représente 208 millions de dollars en jetons GALA qui ont été créés à partir de rien.

Sans grande surprise, le hacker s’est par la suite empressé d’échanger ses jetons GALA contre des ETH via les pools d’Uniswap v2 et v3. Probablement pour ne pas trop impacter le prix et par conséquent la somme de son larcin, le hacker a vendu une partie des jetons via plusieurs dizaines de transactions.

Actuellement, l’adresse du hacker détient 5 900 ETH, soit 21,6 millions de dollars ainsi que 4,4 milliards de jetons GALA.

Selon les informations rapportées par @0xQuit, il semblerait qu’une adresse administrateur ait été compromise. En effet, seules les adresses ayant un rôle minter sont en mesure de créer des jetons.

Réaction de Gala Games

De son côté, Gala Games a annoncé avoir réussi à contenir l’attaque, plusieurs heures après les événements.

« Il s’agit d’un incident isolé, dont la cause a été traitée et nous travaillons en étroite collaboration avec les forces de l’ordre pour enquêter sur les personnes à l’origine de la violation. »

Ils ont également annoncé le gel « du portefeuille concerné ». En effet, lorsqu’on interroge le smart contract du jeton GALA, l’adresse du hacker semble bien avoir été incluse à la BlockList. Cela pourrait expliquer pourquoi le hacker a subitement arrêté de vendre ses jetons aux alentours de 21h45.

Le hacker n’est plus en mesure de vendre ses jetons GALA.

Par conséquent, le hacker comptabilise un butin de 5 913 ETH, soit 21,6 millions de dollars.

Gala Games : un panier percé ?

Ce n’est pas la première fois que Gala Games est la cible d’une telle attaque. En effet, en novembre 2022, un hacker avait réussi à minter plusieurs milliards de jetons pGala , une version cross-chain du jeton GALA.

En cause : la publication de la clé privée en clair sur le Github du projet. On a connu mieux niveau sécurité informatique.

En interne, la situation n’est pas au beau fixe. Ainsi, en septembre 2023, Eric Schiermeyer a accusé son associé, Wright Thurston, d’avoir subtilisé 8,6 milliards de jetons GALA . Il les aurait par la suite discrètement revendus pour la modique somme de 130 millions de dollars.

La semaine dernière, c’est la plateforme Pump.fun hébergée sur Solana qui a été victime d’un hack . Au total, l’attaquant a dérobé 2 millions de dollars. Par la suite, il sera appréhendé par la police londonienne.