GriffinAIがハッキングされ、トークン権限の新たなセキュリティ脆弱性が露呈

作者：Eric，Foresight News

原題：トークン価格がほぼゼロに、Binance Alpha の新星 GriffinAI がハッカーの標的に

Binance Alpha は東アジア時間の昨晩、スコアが210点を超えるユーザーに対してWeb3 AIプロジェクト GriffinAI のトークン GAIN のエアドロップを実施しました。しかし、エアドロップ終了からわずか12時間後、GriffinAI はハッキング被害に遭い、トークン GAIN が悪意を持って50億枚増発されました。このため、GAIN の価格は1時間以内に最高約0.163ドルから約0.003ドルまで急落し、ほぼゼロになりました。執筆時点では、GAIN の価格は0.026ドル付近まで反発しています。

午前9時30分（UTC+8）頃から、ハッカーは増発したGAINをBNBに交換し、その後クロスチェーンでEthereumに移し、Tornado Cashに不正資金を送金し始めました。調査の結果、GriffinAI の創設者 Oliver Feldmeier はX（旧Twitter）で、ハッカーが未承認のLayerZero Peerを導入して攻撃を仕掛け、偽のEthereumコントラクト（トークンTTTT、アドレス0x7a8caf）をデプロイし、それをEthereum側のGAINのLayerZero Peerとして追加したことで、公式コントラクトを回避したと説明しました。その後、ハッカーはEthereum上の偽トークンをLayerZeroを通じてクロスチェーンし、BNB Chain上でGAINトークンを増発することに成功しました。

記事執筆時点で、GriffinAI はBNB Chain上の公式流動性を削除し、GAINを上場している取引所に対し、BNB Chain上のGAINの入金、取引、出金の一時停止を要請しています。

今回攻撃を受けたGriffinAIは、数少ないヨーロッパ発Web3プロジェクトの「代表作」の一つです。

GriffinAIはスイスで設立され、創設者のOliver FeldmeierはSMART VALORの共同創設者でもあります。SMART VALORは2019年にスイスとリヒテンシュタインで初の完全規制下のデジタル資産取引所を立ち上げ、ヨーロッパで初めてNasdaq Nordic市場に上場したデジタル資産取引所となりました。GriffinAIのチーフBDオフィサーColin FitzpatrickはかつてOracleのマルチクラウドエコシステム責任者を務め、ブロックチェーンエンジニアのRomanはBinanceおよびTrust Walletで勤務経験があります。

GriffinAIは、大規模言語モデルやAIエージェントがより簡単にオンチェーン統合できる技術フレームワークの構築を目指しており、中央集権型および分散型AIサービスへのアクセスを容易にすることで、AIエージェントの開発、デプロイ、マネタイズのプロセスを簡素化しています。GriffinAIが構築するアーキテクチャは、分散型AIネットワーク、アイデンティティ管理とレピュテーションシステム、AIエージェントフレームワークの3つのコアコンポーネントで構成されています。

• 分散型AIネットワーク：GriffinAIは、独立したAIモデルおよびサービスプロバイダーからなる分散型ネットワークを導入しています。これらのプロバイダーは、ホスト型LLM、AIモデル、データセット、APIなどのサービスを提供します。サービスプロバイダーは企業、プロジェクト、DAO、個人などが担い、各プロバイダーはノードオペレーターとしてGriffinAIプロトコルソフトウェアを運用し、ユーザーは暗号プリミティブやAPIを通じてこれらのAIサービスにアクセスできます。

• アイデンティティ管理とレピュテーションシステム：GriffinAIは分散型アイデンティティ登録システムと分散型レピュテーションシステムを導入しています。アイデンティティ登録システムは、ネットワーク参加者が自身のアイデンティティと公開鍵を登録し、認証やメッセージ検証を行うことを可能にします。レピュテーションシステムは、ノードオペレーター（サービスプロバイダー、クライアントプロバイダー）やAIエージェントのパフォーマンスを記録・評価するために使用されます。

• AIエージェントフレームワーク：このフレームワークは、クリエイターがブロックチェーン分野でAIエージェントを開発・デプロイするために必要なツールやリソースを提供します。エージェントがブロックチェーン機能と連携するためのプロトコルやツールライブラリが含まれており、AIエージェントが自律的にタスクを実行し目標を達成できる環境を構築しています。

GriffinAIは現在、オープンソースAIエージェントLLaMA Agent、AI画像生成器、DeFi AI Agent TEA、新規上場トークンのリサーチを支援するAIエージェントAlpha Hunterなど、多数のAI関連プロダクトを展開しています。

ハッカーはトークン発行権限を狙い始めている

以前、Web3ソーシャルプラットフォームおよびインフラプロバイダーのUXLINKチームのマルチシグウォレットで秘密鍵漏洩が発生し、トークンが大量に増発され、新しいトークンを発行して旧トークンコントラクトを置き換えるしかありませんでした。明らかに、DeFiプロトコルのコントラクトコードがますます成熟する中で、ハッカーはトークン発行権限を新たな標的とし、かつてはUXLINKプロジェクトのマルチシグウォレットが突破され、今回はBNB Chain上のLayerZero peerにEthereum上の偽トークンの正当性を信じ込ませてクロスチェーンでトークンを増発する手法が使われました。

DeFiの資金プールが盗まれても徐々に回復する可能性がありますが、プロジェクトトークンの増発やトークン発行権限の乗っ取りは、プロジェクトにとってほぼ永久的なダメージとなります。今月発生した2件の重大事件は、プロジェクトチームに警鐘を鳴らしています。プロジェクトコントラクトのセキュリティに注目するだけでなく、チームのコントロール権やトークンコントラクトのセキュリティにも注意を払う必要があり、特にクロスチェーン対応トークンについては、コントラクトロジックの設計に細心の注意を払うべきです。