🚨 Analisi dei casi | GriffinAI ha perso 3 milioni di dollari a causa di un errore di configurazione del ponte cross-chain e della fuga di chiavi private
💸 Rapporto sugli eventi
Settembre, il protocollo AI GriffinAI ha subito un attacco complesso. Gli attaccanti hanno sfruttato l'errata configurazione del ponte cross-chain LayerZero e la fuga di chiavi private dei contratti principali sulla catena BSC, eludendo la verifica, creando arbitrariamente 5 miliardi di token GAIN su BSC e vendendo parte per un profitto di circa 3 milioni di dollari.
🔍 Rassegna della catena d'attacco
Ingresso: fuga delle chiavi private del contratto del token da parte del progetto sulla BSC.
Utilizzo: il ponte cross-chain LayerZero utilizzato dal progetto presenta vulnerabilità nei permessi.
Attacco: gli attaccanti hanno utilizzato le chiavi private per distribuire contratti malevoli su Ethereum, inviando messaggi cross-chain falsificati a BSC, attivando la creazione illegale di monete.
Monetizzazione: vendita di monete false su PancakeSwap.
💡 Avviso principale
La sicurezza è una catena: una fuga di chiavi private combinata a un errore di configurazione è sufficiente per distruggere l'intero protocollo.
Audit devono coprire tutto: l'audit di sicurezza deve coprire simultaneamente i contratti intelligenti, i processi di gestione delle chiavi private e tutte le configurazioni dei componenti di terze parti (come i ponti cross-chain).
Monitorare il comportamento di creazione di monete: per qualsiasi contratto con funzione di creazione di monete, devono essere impostati allarmi in tempo reale per la creazione di monete di grande valore.
