Meme Insider
嗨,币圈爱好者们!如果你关注快速变化的 meme 代币和 DeFi 项目,应该已经听说过近期围绕 Griffin AI 的 GAIN 代币发生的风波。该 AI 驱动项目昨天刚在 Binance Alpha 上线,很快就因一次复杂的攻击成为反面教材——价格暴跌了约 80%。基于安全公司 BlockSec Phalcon 在 X 上的详细线索(在此查看线程),我们来用通俗的语言拆解事件经过以及它对更广泛加密空间的含义。
Griffin AI 漏洞事件发生了什么?
Griffin AI 是一个在 BNB Chain 上将 AI 与 DeFi 结合的新兴项目,其原生代币 GAIN 遭到攻击者利用其跨链设置的弱点。对于不熟悉术语的读者,cross-chain 指的是允许资产或数据在不同区块链之间移动的技术,比如从 Ethereum 到 Binance Smart Chain (BSC)。Griffin AI 使用了 LayerZero,这是一种常见的互操作协议,但问题就出在这里。
根据 GoPlus Security(来源)和 CertiK(来源)等安全团队的报告,攻击者通过设置虚假的“peer”地址欺骗了系统。这很可能是通过钓鱼(phishing)实现——攻击者诱骗某位开发者或关键持有者批准了恶意交易。
下面是逐步分解:
控制所有权地址: 攻击者获取了一个关键地址(0x54A978238984d581EdD3a9359dDA9BE53A930a7e)来在 BSC 上调用 "setPeer" 函数,将一个恶意地址 (0xba159054636e69080ae7c756319e5c85498efeb0) 指定为受信任的 peer。交易可见于此:BSC setPeer 交易。
伪造的跨链消息: 从 Ethereum 发出的一条伪造消息因假 peer 设置而被 BSC 端接受为合法。Ethereum 跨链交易:Ethereum 交易。
铸造代币: 这使得攻击者能在 BSC 上无限制地铸造 GAIN。攻击者额外创造了 50 亿 GAIN(原始供应为 10 亿),远超上限。铸造交易:BSC mint 交易。
抛售与洗钱: 随后攻击者在市场抛售了 1.5 亿 GAIN,换得约 2,955 BNB(约 300 万美元)。他们通过 deBridge 桥接到 Ethereum,并据称通过 Tornado Cash 混币以掩盖资金流向。持有被铸造代币的攻击者地址:BSC 地址。
这并非首次出现这种手法。此前 Seedify Fund(了解更多)和 Yala 等项目也因跨链桥成为薄弱环节而被攻破。就 Griffin AI 而言,部分报告称代币价格一度下跌达 90%,市值蒸发数百万美元。
Griffin AI 的响应与事后影响
事件发生后,Griffin AI 迅速请求主要交易所如 Binance、KuCoin、HTX 和 MEXC 暂停 GAIN 的交易、充值和提现(详情)。此举旨在遏制损失并防止进一步抛售。该项目此前刚为其代币上线庆祝(公告),如今面临艰难的恢复之路。
给 meme 代币投资者与区块链从业者的教训
虽然 Griffin AI 更定位为 AI-DeFi 的效用代币,但其上线时的热度带有明显的 meme 氛围,吸引了大量短线交易者。此事件凸显了 meme 代币生态中的风险:许多新项目匆忙上线,安全措施并不严密。
- 钓鱼防范:在批准操作前务必反复核对,关键操作尽量使用硬件钱包。
- 桥安全:cross-chain 技术很酷,但也脆弱。优先选择经过多次审计的项目,尤其关注使用 LayerZero 等协议的实现细节。
- 尽职调查:在投入新代币前,检查是否存在未验证合约或匆促上线等红旗信号。
在 Meme Insider,我们致力于让你掌握 meme 代币世界中的这些惊险事件。类似事故说明了建立完善知识库的重要性——无论你是开发者、交易者还是只是好奇者,都需要保持警惕。我们会持续为你带来最新报道,帮助你在区块链丛林中导航。如果你对这次攻击有看法,欢迎在评论区留言!
