GriffinAI subisce un attacco hacker che rivela una nuova vulnerabilità di sicurezza nei permessi dei token

Autore: Eric, Foresight News

Titolo originale: Il prezzo del token quasi azzerato, la nuova promessa di Binance Alpha GriffinAI colpita dagli hacker

Binance Alpha ha lanciato ieri sera (fuso orario UTC+8) l'airdrop del token GAIN del progetto Web3 AI GriffinAI agli utenti con un punteggio superiore a 210. Tuttavia, solo 12 ore dopo la fine dell'airdrop, GriffinAI è stata vittima di un attacco hacker, durante il quale sono stati emessi in modo malevolo 5 miliardi di token GAIN. Questo ha causato un crollo del prezzo di GAIN da circa 0,163 dollari al massimo a circa 0,003 dollari in un'ora, praticamente azzerandolo. Al momento della stesura, il prezzo di GAIN è rimbalzato a circa 0,026 dollari.

Dalle 9:30 del mattino (UTC+8) circa, l'hacker ha iniziato a scambiare i GAIN emessi in eccesso con BNB, per poi effettuare un cross-chain verso Ethereum e iniziare a trasferire i fondi rubati su Tornado Cash. Dopo alcune indagini, il fondatore di GriffinAI, Oliver Feldmeier, ha pubblicato su Twitter che l'hacker ha lanciato l'attacco introducendo un LayerZero Peer non autorizzato e distribuendo un contratto Ethereum falso (token TTTTT, indirizzo 0x7a8caf), aggiungendolo come LayerZero Peer di GAIN su Ethereum, aggirando così il contratto ufficiale. Successivamente, l'hacker ha utilizzato LayerZero per effettuare il cross-chain del token falso su Ethereum, riuscendo così a emettere nuovi token GAIN su BNB Chain.

Al momento della pubblicazione, GriffinAI ha già rimosso la liquidità ufficiale aggiunta su BNB Chain e ha richiesto la sospensione delle operazioni di deposito, trading e prelievo di GAIN su BNB Chain.

GriffinAI, vittima di questo attacco, è una delle poche "opere rappresentative" dei progetti Web3 europei.

GriffinAI è stata fondata in Svizzera; il fondatore Oliver Feldmeier è stato co-fondatore di SMART VALOR, che nel 2019 ha lanciato la prima piattaforma di scambio di asset digitali completamente regolamentata in Svizzera e Liechtenstein, diventando la prima piattaforma europea di asset digitali quotata sul mercato Nasdaq nordico. Il Chief BD Officer di GriffinAI, Colin Fitzpatrick, è stato responsabile dell'ecosistema multi-cloud di Oracle, mentre l'ingegnere blockchain Roman ha lavorato in Binance e Trust Wallet.

GriffinAI mira a costruire un framework tecnologico che consenta una più facile integrazione di modelli linguistici di grandi dimensioni e AI Agent on-chain, semplificando lo sviluppo, il deployment e la monetizzazione degli AI Agent attraverso un accesso facilitato a servizi AI centralizzati e decentralizzati. L'architettura di GriffinAI comprende tre componenti principali: rete AI decentralizzata, sistema di gestione dell'identità e della reputazione, e framework per AI Agent.

• Rete AI decentralizzata: GriffinAI introduce una rete decentralizzata composta da fornitori indipendenti di modelli AI e servizi. Questi fornitori offrono servizi come LLM ospitati, modelli AI, dataset, API, ecc. I fornitori possono essere aziende, progetti, DAO o individui. Ogni fornitore agisce come operatore di nodo, eseguendo il software del protocollo GriffinAI; gli utenti possono accedere a questi servizi AI tramite primitive crittografiche e API.

• Sistema di gestione dell'identità e della reputazione: GriffinAI ha lanciato un sistema decentralizzato di registrazione dell'identità e un sistema distribuito di reputazione. Il sistema di registrazione dell'identità consente ai partecipanti della rete di registrare la propria identità e chiave pubblica per l'autenticazione e la verifica dei messaggi. Il sistema di reputazione serve a registrare e valutare le prestazioni degli operatori di nodo (fornitori di servizi, fornitori di client) e degli AI Agent.

• Framework per AI Agent: Questo framework fornisce agli sviluppatori gli strumenti e le risorse necessari per sviluppare e distribuire AI Agent nel settore blockchain. Include protocolli e librerie di strumenti necessari per l'interazione degli agenti con le funzionalità blockchain. Crea un ambiente in cui gli AI Agent possono eseguire autonomamente compiti e raggiungere obiettivi.

Attualmente, GriffinAI ha lanciato numerosi prodotti AI, tra cui l'AI Agent open source LLaMA Agent, un generatore di immagini AI, il DeFi AI Agent TEA e l'AI Agent Alpha Hunter che aiuta gli utenti a ricercare i nuovi token lanciati.

Gli hacker iniziano a puntare ai permessi di emissione dei token

In precedenza, il team di UXLINK, piattaforma sociale Web3 e fornitore di infrastrutture, ha subito una fuga di chiavi private dal wallet multi-firma, causando una massiccia emissione di token e costringendo il team a emettere nuovi token per sostituire il vecchio contratto. È evidente che, con i contratti dei protocolli DeFi sempre più maturi, gli hacker stanno ora puntando ai permessi di emissione dei token: prima il wallet multi-firma di UXLINK è stato violato, ora si cerca di far sì che il LayerZero peer su BNB Chain riconosca la legittimità di un token falso su Ethereum per emettere token cross-chain.

Se il furto di fondi dai pool DeFi può ancora offrire qualche possibilità di recupero, l'emissione eccessiva di token o il cambio di controllo sui permessi di emissione rappresentano un danno quasi permanente per il progetto. I due gravi incidenti di questo mese sono un campanello d'allarme per i team di progetto: oltre a prestare attenzione alla sicurezza dei contratti, è fondamentale garantire la sicurezza del controllo del team e dei contratti dei token, soprattutto per i token cross-chain, dove la logica dei contratti deve essere progettata con la massima attenzione.