GriffinAI зазнав хакерської атаки, що виявила нову уразливість у безпеці дозволів токенів

Автор: Eric, Foresight News

Оригінальна назва: Ціна токена майже обнулилася, Binance Alpha новачок GriffinAI став жертвою хакерської атаки

Binance Alpha вчора ввечері за східноазіатським часом провів airdrop токена GAIN проекту Web3 AI GriffinAI для користувачів з балом понад 210. Однак вже через 12 годин після завершення airdrop GriffinAI зазнав хакерської атаки: токен GAIN був зловмисно додатково випущений у кількості 5 мільярдів, що призвело до падіння ціни GAIN з приблизно 0,163 долара до близько 0,003 долара за одну годину — майже до нуля. На момент написання ціна GAIN вже відновилася до близько 0,026 долара.

Починаючи з 9:30 ранку (UTC+8), хакер почав обмінювати додатково випущені GAIN на BNB, після чого здійснив кросчейн-транзакцію на Ethereum і почав переводити вкрадені кошти на Tornado Cash. Після розслідування засновник GriffinAI Oliver Feldmeier написав у Twitter, що хакер здійснив атаку шляхом додавання несанкціонованого LayerZero Peer і розгорнув підроблений Ethereum-контракт (токен TTTTT, адреса 0x7a8caf), додавши його як LayerZero Peer для GAIN на стороні Ethereum, таким чином обійшовши офіційний контракт. Потім хакер використав LayerZero для кросчейн-переказу підроблених токенів з Ethereum, щоб додатково випустити GAIN на BNB Chain.

На момент написання GriffinAI вже видалив офіційну ліквідність на BNB Chain і вимагав призупинити депозити, торгівлю та виведення GAIN на BNB Chain.

GriffinAI, який став жертвою цієї атаки, є одним із небагатьох "визначних" європейських Web3 проектів.

GriffinAI заснований у Швейцарії, засновник Oliver Feldmeier був співзасновником SMART VALOR, яка у 2019 році запустила першу повністю регульовану біржу цифрових активів у Швейцарії та Ліхтенштейні, а також стала першою європейською біржею цифрових активів, що вийшла на Nasdaq Nordic. Головний BD-офіцер GriffinAI Colin Fitzpatrick раніше був керівником багатохмарної екосистеми в Oracle, а блокчейн-інженер Roman працював у Binance та Trust Wallet.

GriffinAI має на меті створити технологічну інфраструктуру, яка дозволить великим мовним моделям та AI Agent легко інтегруватися в блокчейн, забезпечуючи зручний доступ до централізованих і децентралізованих AI-сервісів, спрощуючи розробку, розгортання та монетизацію AI Agent. Архітектура GriffinAI складається з трьох основних компонентів: децентралізована AI-мережа, система управління ідентичністю та репутацією, а також фреймворк AI Agent.

• Децентралізована AI-мережа: GriffinAI впроваджує децентралізовану мережу, що складається з незалежних AI-моделей та постачальників сервісів. Ці постачальники надають хостингові LLM, AI-моделі, датасети, API тощо. Постачальниками можуть бути компанії, проекти, DAO або окремі особи. Кожен постачальник виступає як оператор вузла, запускаючи програмне забезпечення протоколу GriffinAI, а користувачі можуть отримувати доступ до цих AI-сервісів через криптографічні примітиви та API.

• Система управління ідентичністю та репутацією: GriffinAI впроваджує децентралізовану систему реєстрації ідентичності та розподілену систему репутації. Система реєстрації ідентичності дозволяє учасникам мережі реєструвати свою ідентичність та публічний ключ для автентифікації та перевірки повідомлень. Система репутації використовується для фіксації та оцінки ефективності операторів вузлів (постачальників сервісів, клієнтів) та AI Agent.

• Фреймворк AI Agent: Цей фреймворк надає творцям інструменти та ресурси, необхідні для розробки та розгортання AI Agent у сфері блокчейну. Він містить протоколи та бібліотеки інструментів, необхідних для взаємодії агентів із функціоналом блокчейну. Створюється середовище, в якому AI Agent можуть самостійно виконувати завдання та досягати цілей.

GriffinAI вже випустив велику кількість AI-продуктів, включаючи open-source AI Agent LLaMA Agent, AI-генератор зображень, DeFi AI Agent TEA, а також AI Agent Alpha Hunter, який допомагає користувачам досліджувати нові токени.

Хакери починають націлюватися на права випуску токенів

Раніше у багатопідписному гаманці команди Web3 соціальної платформи та інфраструктурного провайдера UXLINK стався витік приватного ключа, що призвело до масового додаткового випуску токенів, і команді довелося випустити новий токен для заміни старого контракту. Очевидно, що сьогодні, коли код смарт-контрактів DeFi-протоколів стає все більш зрілим, хакери починають націлюватися на права випуску токенів: спочатку був злом багатопідписного гаманця UXLINK, тепер — спроба змусити LayerZero peer на BNB Chain довіряти легітимності підробленого токена на Ethereum для кросчейн-додаткового випуску токенів.

Якщо у випадку крадіжки з DeFi-пулу ще є шанс на поступове відновлення, то додатковий випуск токенів або втрата контролю над правами випуску завдає проекту майже незворотної шкоди. Два серйозних інциденти цього місяця стали тривожним сигналом для команд проектів: окрім уваги до безпеки смарт-контрактів, необхідно також дбати про безпеку контролю над командою та безпеку контракту токена, особливо для токенів із підтримкою кросчейну — логіку контракту потрібно проектувати з особливою обережністю.