Ngôi sao mới nổi GriffinAI của Binance Alpha vừa gặp phải "thiên nga đen" chỉ nửa ngày sau khi ra mắt. Token GAIN gần như mất hết giá trị do phát hành gian lận, dự án chìm trong nghi ngờ "rút chạy" (rug pull), khiến cộng đồng xôn xao.

Tối 24/9, dự án Web3 AI được chờ đợi GriffinAI đã có màn ra mắt trên Binance Alpha. Token GAIN của dự án ban đầu có hiệu suất tốt, chạm mức cao nhất 0.2764 USD và sau đó ổn định quanh 0.16 USD. Tuy nhiên, thời gian huy hoàng không kéo dài. Chỉ 12 giờ sau khi ra mắt, dự án gặp sự cố bảo mật nghiêm trọng: một kẻ tấn công đã lợi dụng lỗ hổng cấu hình để phát hành gian lận 5 tỷ token GAIN và bán ra tập trung, khiến giá token lao dốc hơn 97% trong vòng một giờ, xuống mức thấp nhất 0.004185 USD. Tính đến thời điểm viết bài, giá GAIN vẫn quanh quẩn ở mức thấp khoảng 0.0195 USD.

Điều kịch tính là, trong lúc giá sụp đổ, một địa chỉ ví đã mua vào mạnh tay gần như ở đáy. Theo theo dõi, địa chỉ bắt đầu bằng 0x951 đã mua 20,200 USD token GAIN với giá trung bình 0.00625 USD, thu về lợi nhuận ảo lên tới 107,000 USD chỉ trong một giờ. Trong khi đó, nhiều nhà đầu tư trong cộng đồng cũng cố gắng mua vào ở đáy, thúc đẩy giá phục hồi nhẹ. Nhưng KOL tiền mã hóa "Marktowin" đã cảnh báo trên Binance Square rằng nhóm dự án đã bỏ rơi dự án, việc mua vào ở đáy sẽ đối mặt với rủi ro lớn hơn, và dự đoán "vòng đời của nó không quá 24 giờ".

Đội ngũ GriffinAI chính thức ra thông cáo 4 giờ sau sự kiện, giải thích rằng kẻ tấn công đã thiết lập một điểm ngang hàng LayerZero trái phép để bỏ qua cơ chế xác thực chuỗi chéo, đúc số lượng lớn token GAIN một cách gian lận trên chuỗi BNB. Nhóm dự án đã thực hiện các biện pháp khẩn cấp, yêu cầu các sàn giao dịch tạm dừng giao dịch, nạp/rút GAIN trên chuỗi BNB và gỡ thanh khoản chính thức. Tuy nhiên, thông báo không đưa ra phương án phục hồi hoặc bồi thường cụ thể, gây bất bình mạnh mẽ trong cộng đồng.

Đáng chú ý, sau khi bán 150 triệu GAIN để thu lợi khoảng 3 triệu USD, địa chỉ phát hành gian lận đã chuyển số tiền này qua nhiều chuỗi thông qua deBridge và bắt đầu chuyển ETH vào công cụ trộn tiền Tornado Cash, khiến việc truy thu tiền trở nên khó khăn hơn rất nhiều. Giám đốc An ninh Thông tin 23pds của SlowMist chỉ ra rằng một khi tiền đã vào Tornado Cash, việc truy thu sẽ cực kỳ khó khăn.

Trong cộng đồng, nghi ngờ về việc "vụ tấn công có phải do chính nhóm dự án dàn dựng" không ngừng xuất hiện. Một số quan điểm cho rằng vụ tấn công được gọi là rất có thể là hành vi ăn cắp nội bộ. Tổ chức bảo mật GoPlus cũng phân tích rằng kẻ tấn công có thể là nội gián hoặc đã kiểm soát thành viên dự án thông qua thủ đoạn xã hội. Ngoài ra, các nhà đầu tư cũng chỉ trích Binance Alpha, chất vấn cơ chế xét duyệt dự án của họ. Trước đó, dự án MYX cùng thuộc series Binance Alpha cũng từng vướng vào tranh cãi "lừa đảo airdrop". Sự việc lần này một lần nữa làm tổn hại niềm tin của người dùng vào Binance Alpha.

Nếu GriffinAI muốn lấy lại niềm tin từ cộng đồng, việc cấp bách là minh bạch hợp tác với các sàn giao dịch để đóng băng địa chỉ của kẻ tấn công, sửa lỗ hổng chuỗi chéo và đưa ra các phương án bồi thường thiết thực như di chuyển token tỷ lệ 1:1. Binance Alpha cũng cấp thiết cần tăng cường kiểm tra mã dự án và điều tra lý lịch đội ngũ để tránh lặp lại rủi ro tương tự. Nếu không, GriffinAI rất có thể sẽ không thoát khỏi số phận "dự án yểu mệnh", và danh tiếng của Binance Alpha cũng sẽ tiếp tục bị tổn hại.