GriffinAI został zaatakowany przez hakerów, ujawniając nową lukę w bezpieczeństwie uprawnień tokenów

Autor: Eric, Foresight News

Oryginalny tytuł: Cena tokena niemal do zera, Binance Alpha nowicjusz GriffinAI padł ofiarą ataku hakerskiego

Binance Alpha wczoraj wieczorem czasu UTC+8 przeprowadził airdrop tokena GAIN projektu Web3 AI GriffinAI dla użytkowników z wynikiem powyżej 210 punktów. Jednak zaledwie 12 godzin po zakończeniu airdropu GriffinAI padł ofiarą ataku hakerskiego, w wyniku którego złośliwie wyemitowano dodatkowe 5 miliardów tokenów GAIN. Spowodowało to, że cena GAIN w ciągu godziny spadła z około 0,163 USD do około 0,003 USD, niemal do zera. W chwili pisania tego tekstu cena GAIN odbiła do około 0,026 USD.

Od około godziny 9:30 (UTC+8) haker zaczął wymieniać wyemitowane GAIN na BNB, a następnie dokonywał transakcji cross-chain na Ethereum i rozpoczął transfer środków do Tornado Cash. Po przeprowadzeniu dochodzenia, założyciel GriffinAI, Oliver Feldmeier, napisał na Twitterze, że haker przeprowadził atak poprzez wprowadzenie nieautoryzowanego LayerZero Peer oraz wdrożenie fałszywego kontraktu Ethereum (token TTTTT, adres 0x7a8caf), dodając go jako LayerZero Peer dla GAIN po stronie Ethereum. Pozwoliło to obejść oficjalny kontrakt, a następnie haker wykorzystał LayerZero do cross-chainowej emisji tokenów GAIN na BNB Chain, używając fałszywych tokenów na Ethereum.

Do chwili publikacji GriffinAI usunął oficjalną płynność dodaną na BNB Chain i zażądał wstrzymania depozytów, handlu i wypłat GAIN na BNB Chain przez giełdy, które notują GAIN.

GriffinAI, który padł ofiarą tego ataku, jest jednym z nielicznych „flagowych” projektów Web3 z Europy.

GriffinAI został założony w Szwajcarii, a jego założyciel Oliver Feldmeier był współzałożycielem SMART VALOR, który w 2019 roku uruchomił pierwszą w pełni regulowaną giełdę aktywów cyfrowych w Szwajcarii i Liechtensteinie, stając się pierwszą europejską giełdą aktywów cyfrowych notowaną na Nasdaq Nordic. Colin Fitzpatrick, Chief BD Officer GriffinAI, był wcześniej szefem ekosystemu multi-cloud w Oracle, a inżynier blockchain Roman pracował w Binance i Trust Wallet.

GriffinAI ma na celu stworzenie ram technologicznych, które umożliwią łatwiejszą integrację dużych modeli językowych i AI Agentów z blockchainem, upraszczając procesy rozwoju, wdrażania i monetyzacji AI Agentów poprzez zapewnienie wygodnego dostępu do scentralizowanych i zdecentralizowanych usług AI. Architektura GriffinAI składa się z trzech kluczowych komponentów: zdecentralizowanej sieci AI, systemu zarządzania tożsamością i reputacją oraz frameworka AI Agent.

• Zdecentralizowana sieć AI: GriffinAI wprowadza zdecentralizowaną sieć składającą się z niezależnych modeli AI i dostawców usług. Dostawcy ci oferują hostowane LLM, modele AI, zbiory danych, API i inne usługi. Dostawcami mogą być firmy, projekty, DAO lub osoby prywatne. Każdy dostawca pełni rolę operatora węzła, uruchamiając oprogramowanie protokołu GriffinAI, a użytkownicy mogą uzyskać dostęp do tych usług AI za pomocą prymitywów kryptograficznych i API.

• Zarządzanie tożsamością i system reputacji: GriffinAI wprowadził zdecentralizowany system rejestracji tożsamości oraz rozproszony system reputacji. System rejestracji tożsamości umożliwia uczestnikom sieci rejestrację ich tożsamości i kluczy publicznych w celu uwierzytelniania i weryfikacji wiadomości. System reputacji służy do rejestrowania i oceny wydajności operatorów węzłów (dostawców usług, dostawców klientów) oraz agentów AI.

• Framework AI Agent: Framework ten zapewnia twórcom narzędzia i zasoby niezbędne do tworzenia i wdrażania AI Agentów w obszarze blockchain. Zawiera protokoły i biblioteki narzędzi wymagane do interakcji agentów z funkcjami blockchain. Tworzy środowisko, w którym AI Agent może autonomicznie wykonywać zadania i realizować cele.

GriffinAI wprowadził już wiele produktów związanych z AI, w tym open-source AI Agent LLaMA Agent, generator obrazów AI, DeFi AI Agent TEA oraz AI Agent Alpha Hunter pomagający użytkownikom w badaniu nowo notowanych tokenów.

Hakerzy zaczynają celować w uprawnienia do emisji tokenów

Wcześniej zespół UXLINK, dostawcy platformy społecznościowej Web3 i infrastruktury, doświadczył wycieku klucza prywatnego w portfelu multisig, co doprowadziło do masowej emisji tokenów i konieczności wydania nowych tokenów w celu zastąpienia starego kontraktu. Oczywiste jest, że w czasach coraz bardziej dojrzałego kodu kontraktów DeFi, hakerzy zaczynają celować w uprawnienia do emisji tokenów – wcześniej portfel multisig projektu UXLINK został zhakowany, a teraz udało się sprawić, by LayerZero peer na BNB Chain zaufał legalności fałszywych tokenów na Ethereum, umożliwiając cross-chainową emisję tokenów.

Jeśli kradzież środków z puli DeFi daje jeszcze szansę na stopniowe odzyskanie, to emisja dodatkowych tokenów lub przejęcie uprawnień do emisji tokenów niemal zawsze oznacza trwałą szkodę dla projektu. Dwa poważne incydenty, które miały miejsce w tym miesiącu, są ostrzeżeniem dla zespołów projektowych: oprócz dbania o bezpieczeństwo kontraktów projektowych, należy również zwracać uwagę na bezpieczeństwo kontroli zespołu oraz bezpieczeństwo kontraktów tokenów, zwłaszcza w przypadku tokenów obsługujących cross-chain – projektowanie logiki kontraktów musi być wyjątkowo ostrożne.