Нещодавно ринок криптоактивів знову став свідком вражаючої безпекової події. Проект GAIN Токен зазнав серйозної атаки через крос-ланцюг, яка має вражаючу схожість з попереднім інцидентом Yala. Обидва випадки пов'язані з вразливістю конфігурації Peer крос-ланцюга LayerZero, і зловмисники хитро використали цю вразливість для реалізації ланцюга атак 'підробка монети + крос-ланцюгова мапа + мінтинг на цільовому ланцюзі'.

Процес атаки приблизно такий: зловмисник спочатку на мережі Ethereum мінтить новий токен під назвою TTTTT, після чого через зловмисно налаштований вузол LayerZero Peer надсилає крос-ланцюгове повідомлення. Це повідомлення успішно обійшло перевірку безпеки, в результаті чого на ланцюзі BSC було мінтовано до 5 мільярдів токенів GAIN, які були переведені на адресу зловмисника.

Хоча обидва ці випадки використовували вразливість LayerZero, деталі відрізняються. У випадку з Yala, зловмисник зміг самостійно зареєструвати Peer вузол, тоді як випадок GAIN більше нагадує "витік прав", оскільки для завершення ініціалізації прав Peer на стороні Ethereum потрібне авторизація. Це означає, що команда проекту GAIN, ймовірно, допустила значну недбалість на якомусь етапі, що призвело до отримання зловмисником критичних прав.

Хоча деякі інвестори отримали прибуток, купуючи на дні після обвалу ціни монети, така поведінка не відрізняється від лизання крові з леза ножа. Експерти з безпеки настійно рекомендують уникати будь-яких угод з токеном GAIN, поки проектна команда не вжила ефективних заходів. Якщо проектна команда не зможе своєчасно відреагувати, ціна токена GAIN може продовжувати падати.

Цей інцидент ще раз підкреслює виклики безпеки, пов'язані з крос-ланцюг технологією. З розвитком децентралізованих фінансів, проекти та розробники повинні приділяти більше уваги безпековим аудитам та виявленню вразливостей, щоб запобігти повторенню подібних інцидентів. Водночас, інвестори також повинні підвищити свою обізнаність про ризики і обережно брати участь у нових проектах криптоактивів.