đš Analyse de cas | GriffinAI perd 3 millions de dollars en raison d'une erreur de configuration du pont inter-chaĂźnes et d'une fuite de clĂ© privĂ©e
đž Rapport d'Ă©vĂ©nement
En septembre, le protocole AI GriffinAI a subi une attaque complexe. Les attaquants ont exploité la mauvaise configuration de son pont inter-chaßnes LayerZero et la fuite de clé privée du contrat principal sur la chaßne BSC, contournant la vérification, et ont créé de toutes piÚces 5 milliards de jetons GAIN sur BSC, réalisant un bénéfice d'environ 3 millions de dollars.
đ Revue de la chaĂźne d'attaque
Point d'entrée : fuite de la clé privée du contrat de jeton du projet sur BSC.
Exploitation : la configuration du pont inter-chaßnes LayerZero utilisé par le projet présente une vulnérabilité de permission.
Attaque : les attaquants ont utilisé la clé privée pour déployer un contrat malveillant sur Ethereum, envoyant de faux messages inter-chaßnes à BSC, déclenchant une création de monnaie illégale.
Monétisation : vente des faux jetons sur PancakeSwap.
đĄ Avertissement clĂ©
La sécurité est une chaßne : une seule fuite de clé privée combinée à une erreur de configuration suffit à détruire tout le protocole.
L'audit doit ĂȘtre complet : l'audit de sĂ©curitĂ© doit couvrir simultanĂ©ment les contrats intelligents, le processus de gestion des clĂ©s privĂ©es et la configuration de tous les composants tiers (comme les ponts inter-chaĂźnes).
Surveillance des comportements de crĂ©ation de monnaie : pour tout contrat ayant une fonction de crĂ©ation de monnaie, des alertes en temps rĂ©el pour les crĂ©ations de monnaie importantes doivent ĂȘtre mises en place.