🚨 Analisis Kasus | GriffinAI mengalami kerugian 3 juta dolar AS akibat kesalahan konfigurasi jembatan lintas rantai dan kebocoran kunci pribadi
💸 Laporan Kejadian Cepat
September, protokol AI GriffinAI mengalami serangan kompleks. Penyerang memanfaatkan kesalahan konfigurasi jembatan lintas rantai LayerZero dan kebocoran kunci privat dari kontrak inti di rantai BSC, melewati verifikasi, dan mencetak 5 miliar token GAIN secara sembarangan di BSC, serta menjual sebagian untuk meraih laba sekitar 3 juta dolar AS.
🔍 Rekap Serangan
Pintu Masuk: Kebocoran kunci privat kontrak token pihak proyek di BSC.
Pemanfaatan: Konfigurasi jembatan lintas rantai LayerZero yang digunakan proyek memiliki celah izin.
Serangan: Penyerang memanfaatkan kunci privat untuk menerapkan kontrak jahat di Ethereum, mengirim pesan lintas rantai palsu ke BSC, memicu pencetakan ilegal.
Pencairan: Menjual koin palsu di PancakeSwap untuk dicairkan.
💡 Peringatan Inti
Keamanan adalah rantai: Sekali kebocoran kunci privat ditambah satu kesalahan konfigurasi, cukup untuk menghancurkan seluruh protokol.
Audit harus mencakup semuanya: Audit keamanan harus mencakup kontrak pintar, proses manajemen kunci privat, dan konfigurasi semua komponen pihak ketiga (seperti jembatan lintas rantai) secara bersamaan.
Monitoring perilaku pencetakan: Untuk kontrak apa pun yang memiliki fungsi pencetakan, harus ada peringatan waktu nyata untuk pencetakan dalam jumlah besar.
