Token GAIN của GriffinAI đã giảm 90% chỉ sau một đêm sau khi lỗ hổng chuỗi chéo LayerZero cho phép tin tặc Mint hàng tỷ token và Xả chúng để lấy hàng triệu token.
Lỗ hổng này đã lợi dụng hợp đồng Peer giả trên LayerZero, tiết lộ các vấn đề tin cậy sâu sắc trong thiết kế chuỗi chéo và gây ra sự hoảng loạn trên thị trường AI x DeFi .
Các nhà đầu tư đã mất hàng triệu đô la, một số người suy đoán lợi nhuận từ việc mua vào khi giá giảm, nhưng sự kiện này đã làm lung lay niềm tin vào các dự án AI mới và các giao thức chuỗi chéo.
Trong dải ngân hà blockchain rực rỡ, Token GAIN của GriffinAI dường như là một canh bạc mạnh mẽ trong làn sóng AI Web3. Nó giương cao lá cờ của một đại lý DeFi được điều khiển bởi AI. Nó hứa hẹn sẽ biến những giao dịch phức tạp thành những cú chạm đơn giản. Nhiều nhà đầu tư đã săn đón nó. Vào ngày 24 tháng 9, Token này đã ra mắt trên các sàn giao dịch hàng đầu như Binance Alpha. Vốn hóa thị trường của nó đã tăng vọt lên 42 triệu đô la. Nó mang đến cảm giác như bình minh của một kỷ nguyên mới.
Nhưng chỉ trong vòng một đêm, trước rạng sáng ngày 25 tháng 9, giá đã giảm 90%. Nó giảm từ mức đỉnh 0,25 đô la xuống còn 0,027 đô la. Vốn hóa thị trường giảm xuống còn 6,4 triệu đô la. Khối lượng giao dịch tăng vọt 133% lên 100 triệu đô la. Đây không phải là sự thịnh vượng. Đó là sự hoảng loạn.
Đây không phải là một vụ " Rug Pull" thông thường. Đó là một "kế hoạch đúc tiền" chính xác. Kẻ tấn công đã lợi dụng một lỗ hổng nhỏ trong giao thức chuỗi chéo LayerZero. Trên BNB Chuỗi, chúng đã đúc được 5 tỷ GAIN, vượt xa mức trần 1 tỷ. Sau đó, chúng nhanh chóng bán tháo và thu về 3–4 triệu đô la lợi nhuận. Đối với một thử nghiệm AI x DeFi non trẻ, điều này không chỉ mang lại thua lỗ. Nó đã phơi bày một điểm yếu chí mạng trong thiết kế chuỗi chéo. "Cây cầu" kết nối các chuỗi đã lung lay dưới sức nặng của lòng tin. Chúng tôi sẽ lần theo dấu vết và giải thích nó một cách dễ hiểu.
ĐIỀU GÌ ĐÃ XẢY RA: TRÒ CHƠI “CHÌA KHÓA GIẢ” — TỪ KHÔNG ĐẾN ANH HÙNG TRONG MỘT GIỜ
Vụ tấn công trông giống như một vụ lừa đảo "trao đổi khóa". Nó xảy ra vào khoảng sáng sớm ngày 25 tháng 9 và kết thúc trong vòng một đến hai giờ. Tin tặc không hề tấn công máy chủ. Chúng đã lợi dụng lòng tin của blockchain.
Hãy nghĩ đến hai hòn đảo: Ethereum (ETH) và BNB Chuỗi. LayerZero là cầu nối. Mỗi hòn đảo có một "người gác cổng" (một hợp đồng Peer). Chỉ người gác cổng chính thức mới có thể gửi tin nhắn "vui lòng Mint" qua cầu nối. • Chuẩn bị: đánh cắp chìa khóa, làm giả biển hiệu cửa (12 giờ trước đó) Đầu tiên, tin tặc xây một ngôi nhà giả trên đảo ETH tại địa chỉ 0x7a8caf…. Bên trong là một Token giả tên là TTTTT (nghe giống GAIN). Sau đó, thông qua một số rò rỉ quyền (có thể là khóa dự án bị đánh cắp, hành động nội bộ hoặc lừa đảo), tin tặc đã gọi setPeer.
Họ đặt địa chỉ giả này làm "người gác cổng chính thức" của GAIN trên ETH. Địa chỉ thật 0xccdbb9… đã bị thay thế. • Tấn công: gửi tin nhắn giả và lừa cầu nối (khoảng 1 giờ sáng) Sử dụng người gác cổng giả, tin tặc đã gửi tin nhắn từ ETH đến BNB: "Tôi là người chính thức. Mint 5.000.000.000 GAIN vào 0xf3d173… ngay bây giờ!" Cầu nối LayerZero đã kiểm tra địa chỉ người gửi. Nó khớp. Vì vậy, nó đã thực hiện. Nó không hỏi giá trị đến từ đâu. Nó không kiểm tra xem nguồn cung có vượt quá giới hạn hay không. Đây là lỗ hổng cốt lõi: cầu nối quá tin tưởng vào cài đặt Peer. • Thu hoạch: Mint, Xả và rút tiền (trong vòng 30 phút) Trên Chuỗi BNB , hợp đồng GAIN đã đúc 5 tỷ.
Tổng nguồn cung tăng vọt từ 1 tỷ lên 6 tỷ. Tin tặc đã nhanh chóng chuyển sang PancakeSwap ( Sàn phi tập trung (DEX) của BNB, giống như một quầy hàng rong). Chúng đã bán 147,5 triệu token và thu về 2.955 BNB (khoảng 3 triệu đô la). Chúng không bán hết. Chúng giữ lại phần lớn để dùng sau. • Rửa tiền: chuyển tiền qua cầu nối và ẩn náu trên nhiều chuỗi (trong vòng 1 giờ) Tin tặc đã sử dụng deBridge để chuyển BNB trở lại ETH. Số tiền này trở thành 720 ETH. Chúng chia số tiền này thành sáu ví. Sau đó, chúng sử dụng Tornado Cash. Một số tiền đã được chuyển đến Solana và Base. Việc truy vết trở nên khó khăn.
CertiK và các công ty bảo mật khác đã đưa ra cảnh báo. Họ nói rằng đây là sự cố thiết lập Peer giả mạo. Nhà sáng lập GriffinAI thừa nhận "việc phát hành bất thường". Cộng đồng đặt câu hỏi: hacker hay nhân viên nội bộ?
KHÁM PHÁ KỸ THUẬT SÂU: “BẪY NIỀM TIN” CỦA LAYERZERO — TẠI SAO CẦU BỊ TẤN CÔNG
LayerZero là một giao thức chuỗi chéo mạnh mẽ. Nó cho phép các token di chuyển dễ dàng giữa các chuỗi. Nó sử dụng tiêu chuẩn OFT ( Token Có thể hoán đổi omnichain). Luồng thông thường an toàn. Tuy nhiên, cấu hình ngang hàng lại là một điểm yếu. Việc thiết lập "đối tác tin cậy" phụ thuộc vào nhóm dự án. Nếu khóa bị rò rỉ hoặc cấu hình sai, tin tặc có thể đóng giả một bên và vượt qua các bước kiểm tra.
Đây không phải là sự cố đầu tiên của LayerZero. Một trường hợp tương tự đã xảy ra với dự án Yala. GAIN còn tệ hơn vì nó xảy ra ngay từ ngày đầu tiên. Tại sao điều này lại dễ dàng? • Quá tin tưởng: cầu nối kiểm tra địa chỉ, chứ không phải tính xác thực của thông điệp. Một Peer giả mạo có thể vượt qua. • Quyền hạn lỏng lẻo: hàm setPeer không có đa chữ ký hoặc khóa thời gian. Người trong cuộc có thể chuyển đổi nó chỉ bằng một cú nhấp chuột. • Rủi ro chuỗi chéo: Các nhóm DeFi ưa chuộng cầu nối vì sự tiện lợi. Nhưng cầu nối là một điểm lỗi duy nhất. Vào năm 2025, các cuộc tấn công chuỗi chéo chiếm khoảng 20% các vụ hack.
TÁC ĐỘNG THỊ TRƯỜNG: CÁC NHÀ ĐẦU TƯ BỊ TỔN THƯƠNG, AI DeFi MẶT VỚI CÚ SỐC TIN TƯỞNG
Sau cú sụp đổ, GAIN mất 36 triệu đô la vốn hóa thị trường. Các nhà giao dịch bán lẻ chịu thiệt hại. Trên X, quan điểm trái chiều. Một số người mua vào lúc Đáy và chứng kiến mức tăng trên giấy tờ là 530% (họ mua vào ở mức ~0,00625 đô la và bán ra một giờ sau đó). Họ gọi đó là một cơ hội may mắn và hy vọng sẽ có đợt mua lại. Những người khác lại cho rằng đó là một thiết lập rug hoàn hảo. Binance đã tạm dừng tăng giá và cảnh báo về rủi ro Tổng giá trị khóa (TVL) . Kucoin và các sàn giao dịch khác đã bắt đầu đánh giá.
Tác động rộng hơn: Các dự án AI mới (như GriffinAI với các tác nhân AI cho DeFi) đang rất được ưa chuộng. Điều này giống như một bản sao của vụ hack UXLINK. Nó đã làm giảm niềm tin. Năm 2025, vốn đầu tư AI x on-chain giảm 15%. Các nhà đầu tư ưa chuộng các dự án đã được kiểm toán và cũ hơn. Tuy nhiên, vẫn có cơ hội. Nếu GriffinAI nhanh chóng mua lại số token còn lại, giá có thể phục hồi. Nếu trì hoãn, dự án có thể lụi tàn.
NHÌN VÀO TƯƠNG LAI CỦA TIỀN ĐIỆN TỬ QUA “CUỘC KHỦNG HOẢNG ĐÚC TIỀN”
Sự sụp đổ của GAIN không phải là trường hợp duy nhất. Đó là nỗi đau của sự tăng trưởng nhanh chóng của chuỗi chéo. GriffinAI đã từ một ngôi sao trở thành trò cười chỉ vì một "khóa giả". Nhưng tiền điện tử có thể phục hồi. Tin tặc đã kiếm được 3 triệu đô la. Những người mua Đáy thông minh đã kiếm được hơn 100.000 đô la. Bài học rút ra rất rõ ràng. Niềm tin không phải là miễn phí. Bạn phải trả giá bằng mã nguồn và kiểm toán. Hãy theo dõi các bản sửa lỗi và mua lại dự án của LayerZero. Câu chuyện này vẫn chưa kết thúc. Nếu bạn còn do dự về việc đầu tư, hãy nhớ rằng: khi cây cầu vững chắc, các hòn đảo sẽ an toàn.
〈 Sự cố Token GAIN: Lỗ hổng chuỗi chéo LayerZero đã làm sập một dự án AI chỉ sau một đêm như thế nào? 〉這篇文章最早發佈於《 CoinRank 》。
