GriffinAI sufre un ataque hacker que expone una nueva vulnerabilidad de seguridad en los permisos de tokens

Autor: Eric, Foresight News

Título original: El precio del token casi llega a cero, el nuevo proyecto Alpha de Binance, GriffinAI, sufre un ataque hacker

Binance Alpha lanzó anoche (zona horaria UTC+8) un airdrop del token GAIN del proyecto Web3 AI GriffinAI para usuarios con más de 210 puntos. Sin embargo, apenas 12 horas después de finalizar el airdrop, GriffinAI fue víctima de un ataque hacker, donde se emitieron maliciosamente 5 mil millones de tokens GAIN adicionales. Esto provocó que el precio de GAIN cayera en una hora de un máximo de aproximadamente 0.163 dólares a cerca de 0.003 dólares, prácticamente llegando a cero. Al momento de escribir este artículo, el precio de GAIN ha rebotado a alrededor de 0.026 dólares.

A partir de las 9:30 a.m. (UTC+8), el hacker comenzó a intercambiar los GAIN emitidos de más por BNB y luego los transfirió a Ethereum mediante un puente cross-chain, comenzando a mover los fondos robados a Tornado Cash. Tras una investigación, el fundador de GriffinAI, Oliver Feldmeier, publicó en Twitter que el hacker atacó introduciendo un LayerZero Peer no autorizado y desplegando un contrato falso en Ethereum (token TTTTT, dirección 0x7a8caf), añadiéndolo como LayerZero Peer de GAIN en Ethereum, lo que permitió eludir el contrato oficial. Posteriormente, el hacker utilizó LayerZero para emitir tokens GAIN adicionales en BNB Chain a través del token falso en Ethereum.

Hasta el momento de la publicación, GriffinAI ya ha retirado la liquidez oficial añadida en BNB Chain y ha solicitado la suspensión de depósitos, trading y retiros de GAIN en BNB Chain.

GriffinAI, el proyecto atacado en esta ocasión, es una de las pocas “obras representativas” de proyectos Web3 europeos.

GriffinAI fue fundada en Suiza. Su fundador, Oliver Feldmeier, fue cofundador de SMART VALOR, que en 2019 lanzó el primer exchange de activos digitales completamente regulado en Suiza y Liechtenstein, convirtiéndose en el primer exchange europeo de activos digitales en cotizar en el mercado Nasdaq Nordic. El Chief BD Officer de GriffinAI, Colin Fitzpatrick, fue responsable del ecosistema multicloud en Oracle, y el ingeniero blockchain Roman trabajó previamente en Binance y Trust Wallet.

GriffinAI tiene como objetivo construir un marco tecnológico que permita integrar fácilmente modelos de lenguaje grande y AI Agents en la blockchain, facilitando el acceso tanto a servicios de IA centralizados como descentralizados, y simplificando el desarrollo, despliegue y monetización de AI Agents. La arquitectura de GriffinAI incluye tres componentes principales: red de IA descentralizada, sistema de gestión de identidad y reputación, y marco de AI Agent.

• Red de IA descentralizada: GriffinAI introduce una red descentralizada compuesta por proveedores independientes de modelos y servicios de IA. Estos proveedores ofrecen servicios como LLM alojados, modelos de IA, conjuntos de datos, APIs, etc. Los proveedores pueden ser empresas, proyectos, DAOs o individuos. Cada proveedor actúa como operador de nodo, ejecutando el software del protocolo GriffinAI, y los usuarios pueden acceder a estos servicios de IA mediante primitivas criptográficas y APIs.

• Sistema de gestión de identidad y reputación: GriffinAI ha lanzado un sistema descentralizado de registro de identidad y un sistema distribuido de reputación. El sistema de registro de identidad permite a los participantes de la red registrar su identidad y clave pública para autenticación y verificación de mensajes. El sistema de reputación se utiliza para registrar y evaluar el desempeño de los operadores de nodos (proveedores de servicios, proveedores de clientes) y de los AI Agents.

• Marco de AI Agent: Este marco proporciona a los creadores las herramientas y recursos necesarios para desarrollar y desplegar AI Agents en el ámbito blockchain. Incluye los protocolos y bibliotecas de herramientas necesarias para que los agentes interactúen con las funcionalidades de la blockchain. Construye un entorno donde los AI Agents pueden ejecutar tareas de manera autónoma y alcanzar objetivos.

Actualmente, GriffinAI ha lanzado una gran cantidad de productos relacionados con IA, incluyendo el AI Agent de código abierto LLaMA Agent, un generador de imágenes por IA, el DeFi AI Agent TEA, y el AI Agent Alpha Hunter, que ayuda a los usuarios a investigar nuevos tokens listados.

Los hackers empiezan a apuntar a los permisos de emisión de tokens

Anteriormente, el equipo de UXLINK, una plataforma social Web3 y proveedor de infraestructura, sufrió una filtración de la clave privada de su wallet multifirma, lo que resultó en una emisión masiva de tokens y la necesidad de lanzar un nuevo token para reemplazar el contrato anterior. Evidentemente, a medida que el código de los contratos de los protocolos DeFi se vuelve más maduro, los hackers han comenzado a enfocar sus ataques en los permisos de emisión de tokens. Primero fue el ataque al wallet multifirma de UXLINK, y ahora el intento de hacer que el LayerZero peer en BNB Chain confíe en la legitimidad de un token falso en Ethereum para emitir tokens adicionales cross-chain.

Si bien el robo de fondos en pools DeFi puede tener alguna posibilidad de recuperación, la emisión adicional de tokens o la transferencia de los permisos de emisión puede causar daños casi permanentes a un proyecto. Los dos graves incidentes ocurridos este mes son una advertencia para los equipos de proyectos: además de enfocarse en la seguridad de los contratos, también deben prestar atención a la seguridad del control del equipo y de los contratos de los tokens, especialmente para los tokens que soportan cross-chain, donde el diseño lógico del contrato debe ser extremadamente cuidadoso.