Recentemente, o mercado de Ativos de criptografia testemunhou um incidente de segurança notável. O projeto de Token GAIN enfrentou um grave ataque de vulnerabilidade de cadeia cruzada, e este evento tem semelhanças surpreendentes com o incidente anterior do Yala. Ambos os incidentes envolveram vulnerabilidades na configuração de Peer de cadeia cruzada do LayerZero, onde os atacantes aproveitaram habilidosamente essa vulnerabilidade para realizar uma cadeia de ataque de 'moeda falsa + mapeamento de cadeia cruzada + cunhagem na cadeia alvo'.

O processo de ataque é aproximadamente o seguinte: o atacante primeiro cunhou um novo Token chamado TTTTT na rede Ethereum, e depois enviou uma mensagem de cadeia cruzada através de um nó Peer do LayerZero mal configurado. Essa mensagem contornou com sucesso a verificação de segurança e, no final, cunhou até 5 bilhões de Tokens GAIN na cadeia BSC, transferindo esses Tokens para o endereço do atacante.

Embora os dois eventos tenham explorado vulnerabilidades do LayerZero, existem diferenças nos detalhes. No evento Yala, os atacantes conseguiram registrar nós Peer por conta própria, enquanto o evento GAIN foi mais parecido com uma 'vazamento de permissões', uma vez que a inicialização de permissões Peer no lado do Ethereum requer autorização. Isso significa que a equipe do projeto GAIN provavelmente cometeu uma negligência significativa em algum ponto, permitindo que os atacantes obtivessem permissões críticas.

Apesar de alguns investidores lucrarem ao comprar a preços baixos após a queda acentuada dos preços das moedas, esse comportamento é semelhante a lamparinar a lâmina de uma faca. Especialistas em segurança recomendam fortemente que, antes que a equipe do projeto tome medidas efetivas, os investidores devem evitar qualquer negociação com o token GAIN. Se a equipe do projeto não responder a tempo, o preço do token GAIN pode continuar a cair.

Este incidente destaca novamente os desafios da tecnologia de cadeia cruzada em termos de segurança. Com o contínuo desenvolvimento das finanças descentralizadas, as equipes de projeto e os desenvolvedores precisam dar mais atenção à auditoria de segurança e à detecção de vulnerabilidades, para evitar a repetição de eventos semelhantes. Ao mesmo tempo, os investidores também devem aumentar a consciência sobre riscos e participar com cautela em projetos de ativos de criptografia emergentes.