Récemment, le marché des cryptoactifs a de nouveau été témoin d'un événement de sécurité marquant. Le projet de jeton GAIN a subi une grave attaque de vulnérabilité cross-chain, cet incident présentant des similitudes frappantes avec l'incident précédent de Yala. Les deux événements ont impliqué des vulnérabilités dans la configuration Peer cross-chain de LayerZero, les attaquants ayant habilement exploité cette vulnérabilité pour réaliser une chaîne d'attaques de 'jeton falsifié + mappage cross-chain + minting sur la chaîne cible'.

Le processus d'attaque est approximativement le suivant : l'attaquant a d'abord minté un nouveau jeton nommé TTTTT sur le réseau Ethereum, puis a envoyé un message cross-chain via un nœud LayerZero Peer mal configuré. Ce message a réussi à contourner la vérification de sécurité, aboutissant finalement à la minting de jusqu'à 5 milliards de jetons GAIN sur la chaîne BSC, et a transféré ces jetons à l'adresse de l'attaquant.

Bien que ces deux événements aient exploité les vulnérabilités de LayerZero, il existe des différences dans les détails. Dans l'événement Yala, les attaquants ont pu s'enregistrer eux-mêmes en tant que nœuds Peer, tandis que l'événement GAIN ressemble davantage à une 'fuite de permissions', car l'initialisation des permissions Peer du côté d'Ethereum nécessite une autorisation. Cela signifie que l'équipe du projet GAIN a très probablement commis une négligence majeure à un certain stade, permettant aux attaquants d'obtenir des permissions clés.

Bien que certains investisseurs aient réalisé des bénéfices en achetant au plus bas après la chute des prix des jetons, ce comportement n'est pas sans risque. Les experts en sécurité recommandent fortement que, tant que l'équipe du projet n'a pas pris de mesures efficaces, les investisseurs devraient éviter toute transaction avec le jeton GAIN. Si l'équipe du projet ne réagit pas rapidement, le prix du jeton GAIN pourrait continuer à baisser.

Cet incident met une fois de plus en évidence les défis de sécurité liés à la technologie cross-chain. Avec le développement continu de la finance décentralisée, les équipes de projet et les développeurs doivent accorder une plus grande importance aux audits de sécurité et à la détection des vulnérabilités afin d'éviter la récurrence de tels incidents. Parallèlement, les investisseurs doivent également accroître leur sensibilisation aux risques et participer avec prudence aux nouveaux projets de cryptoactifs.