GriffinAI sofre ataque hacker e expõe nova vulnerabilidade de segurança nas permissões de tokens

Autor: Eric, Foresight News

Título original: O preço do token quase zerou, GriffinAI, o novo destaque do Binance Alpha, foi alvo de hackers

Na noite de ontem (horário UTC+8), o Binance Alpha lançou um airdrop do token GAIN do projeto Web3 AI GriffinAI para usuários com pontuação superior a 210. No entanto, apenas 12 horas após o término do airdrop, o GriffinAI foi atacado por hackers, que emitiram maliciosamente 5 bilhões de tokens GAIN, fazendo com que o preço do GAIN caísse de cerca de US$ 0,163 para cerca de US$ 0,003 em apenas uma hora, praticamente zerando seu valor. No momento da redação deste artigo, o preço do GAIN já havia se recuperado para cerca de US$ 0,026.

A partir das 9h30 da manhã (UTC+8), o hacker começou a trocar os GAIN emitidos por BNB e, em seguida, realizou uma transação cross-chain para Ethereum, começando a transferir os fundos roubados para o Tornado Cash. Após uma investigação, o fundador do GriffinAI, Oliver Feldmeier, publicou no Twitter que o hacker realizou o ataque introduzindo um LayerZero Peer não autorizado e implantando um contrato falso na Ethereum (token TTTTT, endereço 0x7a8caf), adicionando-o como LayerZero Peer do GAIN no lado da Ethereum, conseguindo assim contornar o contrato oficial. Em seguida, o hacker utilizou o LayerZero para realizar a emissão de GAIN na BNB Chain a partir do falso token na Ethereum.

Até o momento da publicação, o GriffinAI já havia removido a liquidez oficial adicionada na BNB Chain e solicitado a suspensão dos depósitos, negociações e saques do GAIN na BNB Chain.

O GriffinAI, alvo deste ataque, é uma das poucas “obras representativas” de projetos Web3 europeus.

O GriffinAI foi fundado na Suíça. O fundador, Oliver Feldmeier, foi cofundador da SMART VALOR, que em 2019 lançou a primeira exchange de ativos digitais totalmente regulamentada na Suíça e Liechtenstein, tornando-se a primeira exchange de ativos digitais europeia listada no mercado Nasdaq do Norte da Europa. O Chief BD Officer do GriffinAI, Colin Fitzpatrick, foi responsável pelo ecossistema multicloud da Oracle, e o engenheiro de blockchain Roman já trabalhou na Binance e na Trust Wallet.

O objetivo do GriffinAI é construir uma estrutura tecnológica que permita a integração mais fácil de grandes modelos de linguagem e AI Agents on-chain, simplificando o desenvolvimento, a implantação e a monetização de AI Agents ao fornecer acesso conveniente a serviços de IA centralizados e descentralizados. A arquitetura do GriffinAI é composta por três componentes principais: rede de IA descentralizada, sistema de gerenciamento de identidade e reputação, e framework de AI Agent.

• Rede de IA descentralizada: O GriffinAI introduz uma rede descentralizada composta por modelos de IA independentes e provedores de serviços. Esses provedores oferecem serviços como LLM hospedados, modelos de IA, conjuntos de dados, APIs, entre outros. Os provedores podem ser empresas, projetos, DAOs ou indivíduos. Cada provedor atua como operador de nó, executando o software do protocolo GriffinAI, e os usuários podem acessar esses serviços de IA por meio de primitivas criptográficas e APIs.

• Sistema de gerenciamento de identidade e reputação: O GriffinAI lançou um sistema descentralizado de registro de identidade e um sistema distribuído de reputação. O sistema de registro de identidade permite que os participantes da rede registrem suas identidades e chaves públicas para autenticação e verificação de mensagens. O sistema de reputação serve para registrar e avaliar o desempenho dos operadores de nós (provedores de serviços, provedores de clientes) e dos AI Agents.

• Framework de AI Agent: Este framework fornece aos criadores as ferramentas e recursos necessários para desenvolver e implantar AI Agents no setor blockchain. Ele inclui protocolos e bibliotecas de ferramentas necessárias para a interação dos agentes com funcionalidades blockchain, criando um ambiente onde AI Agents podem executar tarefas de forma autônoma e alcançar objetivos.

Atualmente, o GriffinAI já lançou uma série de produtos relacionados à IA, incluindo o AI Agent open source LLaMA Agent, gerador de imagens por IA, DeFi AI Agent TEA e o AI Agent Alpha Hunter, que auxilia usuários na pesquisa de novos tokens lançados.

Hackers começam a mirar nas permissões de emissão de tokens

Anteriormente, a equipe da UXLINK, uma plataforma social Web3 e provedora de infraestrutura, teve um problema de vazamento de chave privada em sua carteira multisig, resultando em uma grande emissão de tokens, sendo necessário emitir novos tokens para substituir o contrato antigo. Claramente, à medida que o código dos contratos dos protocolos DeFi se torna cada vez mais maduro, os hackers começaram a mirar nas permissões de emissão de tokens. Primeiro, o multisig da UXLINK foi comprometido; agora, conseguiram fazer com que o LayerZero peer da BNB Chain confiasse na legitimidade de um token falso na Ethereum para emitir tokens cross-chain.

Se o roubo de fundos em pools DeFi ainda oferece alguma chance de recuperação, a emissão excessiva de tokens ou a transferência das permissões de emissão de tokens causa danos quase permanentes ao projeto. Os dois incidentes graves ocorridos este mês servem de alerta para as equipes de projetos: além de focar na segurança dos contratos do projeto, é fundamental garantir a segurança do controle da equipe e dos contratos de tokens, especialmente para tokens que suportam cross-chain, sendo necessário extremo cuidado no design da lógica dos contratos.