🚨 Analyse de cas | GriffinAI perd 3 millions de dollars en raison d'une erreur de configuration du pont inter-chaînes et d'une fuite de clé privée
💸 Rapport d'événement
En septembre, le protocole AI GriffinAI a subi une attaque complexe. Les attaquants ont exploité la mauvaise configuration de son pont inter-chaînes LayerZero et la fuite de clé privée du contrat principal sur la chaîne BSC, contournant la vérification, et ont créé de toutes pièces 5 milliards de jetons GAIN sur BSC, réalisant un bénéfice d'environ 3 millions de dollars.
🔍 Revue de la chaîne d'attaque
Point d'entrée : fuite de la clé privée du contrat de jeton du projet sur BSC.
Exploitation : la configuration du pont inter-chaînes LayerZero utilisé par le projet présente une vulnérabilité de permission.
Attaque : les attaquants ont utilisé la clé privée pour déployer un contrat malveillant sur Ethereum, envoyant de faux messages inter-chaînes à BSC, déclenchant une création de monnaie illégale.
Monétisation : vente des faux jetons sur PancakeSwap.
💡 Avertissement clé
La sécurité est une chaîne : une seule fuite de clé privée combinée à une erreur de configuration suffit à détruire tout le protocole.
L'audit doit être complet : l'audit de sécurité doit couvrir simultanément les contrats intelligents, le processus de gestion des clés privées et la configuration de tous les composants tiers (comme les ponts inter-chaînes).
Surveillance des comportements de création de monnaie : pour tout contrat ayant une fonction de création de monnaie, des alertes en temps réel pour les créations de monnaie importantes doivent être mises en place.
