GriffinAI代币遭50亿枚恶意增发：跨链漏洞暴露代币发行权限风险

北京时间昨日晚间，币安 Alpha 面向积分大于 210 分的用户推出了 Web 3 AI 项目 GriffinAI 的代币 GAIN 空投。然而，空投结束后仅 12 小时，GriffinAI 即遭黑客攻击。其代币 GAIN 被恶意增发了 50 亿枚，导致价格在一个小时内从最高约 0.163 美元暴跌至约 0.003 美元，近乎归零。截至撰文时，GAIN 的价格已反弹至 0.026 美元附近。

据调查，从上午 9:30 左右，黑客开始将增发的 GAIN 兑换为 BNB，并通过跨链交易将其转移到以太坊，随后向 Tornado Cash 转移赃款。GriffinAI 创始人 Oliver Feldmeier 在推特上表示，黑客通过引入未经授权的 LayerZero Peer 发起攻击，部署了一个假冒的以太坊合约（代币 TTTTT，地址 0x7a8caf），并将其添加为 GAIN 在以太坊端的 LayerZero Peer，绕过官方合约。接着，黑客将以太坊上的假代币通过 LayerZero 跨链在 BNB Chain 上实现了增发 GAIN 代币的目的。 截至目前，GriffinAI 已移除 BNB Chain 上的官方流动性，并要求相关交易平台暂停 GAIN 在 BNB Chain 上的充值、交易与提款。 本次遭到攻击的 GriffinAI 是欧洲少数 Web 3 项目的「代表作」之一。 GriffinAI 成立于瑞士，创始人 Oliver Feldmeier 曾是 SMART VALOR 的联合创始人。SMART VALOR 于 2019 年在瑞士和列支敦士登推出首个完全受监管的数字资产交易所，并成为首家在纳斯达克北欧市场上市的欧洲数字资产交易所。GriffinAI 首席 BD 官 Colin Fitzpatrick 曾任甲骨文多云生态负责人，区块链工程师 Roman 曾就职于币安和 Trust Wallet。 GriffinAI 致力于构建一个技术框架，使大语言模型和 AI Agent 更便捷地集成到区块链中，通过提供对中心化和去中心化 AI 服务的访问，简化 AI Agent 的开发、部署和货币化流程。GriffinAI 的架构包含三个核心组件：去中心化 AI 网络、身份管理和声誉系统、AI Agent 框架。

• 去中心化 AI 网络：GriffinAI 引入了一个由独立 AI 模型和服务提供商组成的去中心化网络，这些提供商包括托管的 LLM、AI 模型、数据集、API 等服务。每个提供商都作为节点运营商运行 GriffinAI 协议软件，用户可通过加密原语和 API 访问这些 AI 服务。
• 身份管理和声誉系统：GriffinAI 推出了一个去中心化的身份注册系统和分布式声誉系统。身份注册系统允许网络参与者注册身份和公钥，用于身份验证和消息验证；声誉系统则记录和评估节点运营商及 AI 代理的性能。
• AI Agent 框架：该框架为开发者提供了在区块链领域开发和部署 AI Agent 所需的工具和资源，包括代理与区块链功能交互所需的协议和工具库，构建了一个 AI Agent 可自主执行任务并实现目标的环境。

目前，GriffinAI 已推出多款 AI 相关产品，包括开源 AI Agent LLaMA Agent、AI 图像生成器、DeFi AI Agent TEA 以及协助用户研究新上线代币的 AI Agent Alpha Hunter 等。

黑客瞄准代币发行权限

此前，Web 3 社交平台和基础设施提供商 UXLINK 因团队多签钱包私钥泄露问题，导致代币被大量增发，最终不得不发行新的代币替换旧的代币合约。显然，在 DeFi 协议合约代码日益成熟的今天，黑客已将目标转向代币发行权限。前有 UXLINK 多签钱包被攻破，今有黑客利用 LayerZero peer 权限漏洞，通过信任以太坊上假代币的方式实现跨链增发。 如果说 DeFi 资金池被盗尚有逐渐恢复的机会，那么项目代币增发或代币发行权限易主对项目的伤害几乎是永久性的。本月发生的两起恶性事件也为项目方敲响了警钟：在关注项目合约安全性的同时，还需加强团队控制权的安全性及代币合约的安全性，尤其对于支持跨链的代币，合约逻辑的设计更需慎之又慎。