Na-hack ang GriffinAI, nagbunyag ng bagong kahinaan sa seguridad ng token permissions

May-akda: Eric, Foresight News

Orihinal na Pamagat: Halos nag-zero ang presyo ng token, Binance Alpha bagitong GriffinAI nabiktima ng hacker

Noong gabi kahapon sa East 8 Zone, inilunsad ng Binance Alpha ang airdrop ng token ng Web3 AI project na GriffinAI, GAIN, para sa mga user na may higit sa 210 points. Gayunpaman, makalipas lamang ang 12 oras matapos ang airdrop, inatake ng hacker ang GriffinAI at malisyosong nag-mint ng karagdagang 5 bilyong GAIN tokens. Dahil dito, bumagsak ang presyo ng GAIN mula sa pinakamataas na $0.163 hanggang halos $0.003 sa loob ng isang oras, halos nag-zero. Sa oras ng pagsulat, ang presyo ng GAIN ay bahagyang bumawi sa paligid ng $0.026.

Mula bandang 9:30 ng umaga (UTC+8), nagsimulang ipagpalit ng hacker ang na-mint na GAIN sa BNB at pagkatapos ay nag-cross-chain trade papuntang Ethereum, at sinimulan ang paglilipat ng nakaw na pondo sa Tornado Cash. Matapos ang imbestigasyon, nag-tweet ang founder ng GriffinAI na si Oliver Feldmeier na ang hacker ay gumamit ng hindi awtorisadong LayerZero Peer para simulan ang pag-atake, nag-deploy ng pekeng Ethereum contract (token TTTTT, address 0x7a8caf), at idinagdag ito bilang LayerZero Peer ng GAIN sa Ethereum side, kaya nailigaw ang opisyal na contract. Pagkatapos, ginamit ng hacker ang LayerZero cross-chain upang mag-mint ng GAIN tokens sa BNB Chain gamit ang pekeng token sa Ethereum.

Sa oras ng pagsulat, inalis na ng GriffinAI ang opisyal na liquidity sa BNB Chain at humiling ng suspensyon ng deposit, trading, at withdrawal ng GAIN sa BNB Chain.

Ang GriffinAI na naatake ay isa sa iilang "representative works" ng European Web3 projects.

Ang GriffinAI ay itinatag sa Switzerland, ang founder na si Oliver Feldmeier ay dating co-founder ng SMART VALOR. Noong 2019, inilunsad ng SMART VALOR ang unang ganap na regulated digital asset exchange sa Switzerland at Liechtenstein, at naging unang European digital asset exchange na nakalista sa Nasdaq Nordic market. Ang Chief BD Officer ng GriffinAI na si Colin Fitzpatrick ay dating Head of Multi-cloud Ecosystem ng Oracle, at ang blockchain engineer na si Roman ay dating nagtrabaho sa Binance at Trust Wallet.

Layon ng GriffinAI na bumuo ng isang teknolohikal na framework upang mas madaling ma-integrate ang large language models at AI Agent sa blockchain. Sa pamamagitan ng pagbibigay ng madaling access sa centralized at decentralized AI services, pinapasimple nito ang proseso ng pag-develop, pag-deploy, at pag-monetize ng AI Agent. Ang arkitektura ng GriffinAI ay binubuo ng tatlong pangunahing bahagi: decentralized AI network, identity management at reputation system, at AI Agent framework.

• Decentralized AI Network: Nagpakilala ang GriffinAI ng isang decentralized network na binubuo ng independent AI models at service providers. Ang mga provider na ito ay nag-aalok ng hosted LLM, AI models, datasets, API, at iba pang serbisyo. Ang mga service provider ay maaaring kumpanya, proyekto, DAO, o indibidwal. Bawat provider ay nagsisilbing node operator na nagpapatakbo ng GriffinAI protocol software, at maaaring ma-access ng mga user ang mga AI service na ito gamit ang cryptographic primitives at API.

• Identity Management at Reputation System: Naglunsad ang GriffinAI ng isang decentralized identity registration system at isang distributed reputation system. Pinapayagan ng identity registration system ang mga kalahok sa network na magrehistro ng kanilang identity at public key para sa authentication at message verification. Ang reputation system ay ginagamit upang i-record at suriin ang performance ng node operators (service providers, client providers) at AI agents.

• AI Agent Framework: Ang framework na ito ay nagbibigay sa mga creator ng mga tool at resources na kailangan para mag-develop at mag-deploy ng AI Agent sa blockchain. Kasama rito ang mga protocol at tool libraries na kailangan ng agent para makipag-interact sa blockchain functionalities. Binubuo nito ang isang environment kung saan ang AI Agent ay maaaring magsagawa ng mga gawain at makamit ang mga layunin nang autonomously.

Sa kasalukuyan, inilunsad na ng GriffinAI ang maraming AI-related products, kabilang ang open-source AI Agent LLaMA Agent, AI image generator, DeFi AI Agent TEA, at AI Agent Alpha Hunter na tumutulong sa mga user na magsaliksik ng mga bagong token na inilulunsad.

Nagsisimula nang tutukan ng mga hacker ang token minting permissions

Noong una, nagkaroon ng private key leak ang multi-signature wallet ng Web3 social platform at infrastructure provider na UXLINK team, na nagresulta sa malakihang pag-mint ng token at napilitan silang mag-issue ng bagong token para palitan ang lumang token contract. Maliwanag, habang lalong nagiging mature ang DeFi protocol contract codes, nagsisimula nang tutukan ng mga hacker ang token minting permissions. Nauna nang na-hack ang multi-signature wallet ng UXLINK project, ngayon naman ay sinubukang gawing lehitimo ang pekeng token sa Ethereum para makapag-cross-chain at mag-mint ng token sa BNB Chain gamit ang LayerZero peer.

Kung ang pagnanakaw sa DeFi fund pool ay may tsansang mabawi, ang pag-mint ng bagong token o paglipat ng token minting permissions ay halos permanenteng pinsala sa proyekto. Ang dalawang malalalang insidente ngayong buwan ay nagsilbing babala sa mga project teams: bukod sa pagtuon sa contract security ng proyekto, dapat ding bigyang pansin ang seguridad ng team control at token contract, lalo na para sa mga token na sumusuporta sa cross-chain, kailangang maging maingat sa disenyo ng contract logic.