CrossCurve menace d'engager une action en justice après l'exploitation de la faille du pont inter-chaînes n°$3M .

En résumé

• CrossCurve a déclaré dimanche qu’un attaquant avait exploité une faille dans ses contrats de ponts et identifié 10 adresses Ethereum ayant reçu les fonds.
• Son PDG, Boris Povar, a indiqué que leur équipe engagerait des actions légales et de répression si les fonds n’étaient pas restitués dans les 72 heures.
• Des sociétés de sécurité estiment les pertes à environ 3 millions de dollars sur plusieurs blockchains, bien que CrossCurve n’ait pas encore confirmé ce chiffre.

Le protocole de finance décentralisée CrossCurve, anciennement connu sous le nom d’EYWA, affirme avoir identifié publiquement dix adresses Ethereum liées à un piratage de son système de transfert de jetons dimanche. CrossCurve a révélé dimanche après-midi qu’un attaquant avait exploité une faille “impliquant l’exploitation d’une vulnérabilité dans l’un des contrats intelligents” utilisés pour son pont inter-chaînes, un système permettant aux utilisateurs de déplacer des jetons entre différentes blockchains. Quelques heures plus tard, le PDG de CrossCurve, Boris Povar, a déclaré que l’équipe avait identifié dix adresses Ethereum ayant reçu les fonds en question. “Ces jetons ont été indûment prélevés sur les utilisateurs en raison d’une exploitation d’un contrat intelligent,” a déclaré Povar. “Nous ne pensons pas que cela ait été intentionnel de votre part, et il n’y a aucune indication d’intention malveillante.”

 Povar a averti que si les fonds n’étaient pas restitués ou si aucun contact n’était établi dans les 72 heures, leur équipe “supposerait une intention malveillante et traiterait l’affaire comme une question judiciaire.” Le non-retour des fonds entraînerait une escalade immédiate, incluant des référencements criminels, des litiges civils, la coordination avec les échanges et les émetteurs pour geler les actifs, la divulgation publique des données de portefeuille et de transaction, ainsi que la coopération avec les forces de l’ordre et les sociétés d’analyse blockchain, a ajouté Povar. Un contrat intelligent est un programme qui s’exécute sur une blockchain et réalise automatiquement des transactions selon des règles prédéfinies.

Defimon Alerts, un compte social géré par la société de sécurité blockchain Decurity, a fourni une estimation initiale selon laquelle l’exploitation aurait entraîné des pertes d’environ 3 millions de dollars sur “plusieurs réseaux,” ajoutant que la faille permettait à un attaquant d’envoyer un faux message inter-chaînes sur le contrat intelligent de CrossCurve, contournant les vérifications et provoquant la libération des fonds par le pont. La société de sécurité blockchain BlockSec, quant à elle, a estimé les pertes totales à environ 2,76 millions de dollars, comprenant environ 1,3 million de dollars sur Ethereum et environ 1,28 million de dollars sur Arbitrum, ainsi que plusieurs autres chaînes, dont Optimism, Base, Mantle, Kava, Frax, Celo, et Blast. CrossCurve n’a pas confirmé publiquement l’estimation des pertes citée par les sociétés de sécurité, et n’a pas partagé son propre chiffre concernant les fonds affectés. Decrypt a contacté CrossCurve pour un commentaire. L’exploitation provenait d’un “manque de validation,” ont indiqué l’équipe de BlockSec à Decrypt. “Les messages inter-chaînes qui auraient dû être validés n’ont pas été vérifiés, ce qui a conduit le contrat de la chaîne de destination à croire que le message reflétait une transaction authentique initiée sur la chaîne source et à libérer les actifs correspondants en se basant sur des données de charge utile falsifiées par l’attaquant,” a expliqué BlockSec. L’incident montre que “la sécurité inter-chaînes repose encore trop fortement sur une seule voie de validation,” a ajouté BlockSec. “Si une autre voie d’exécution contourne cette vérification, tout le modèle de confiance s’effondre.” “Cet exploit n’était pas une défaillance du protocole principal d’Axelar ; c’était une défaillance côté récepteur,” a déclaré Dan Dadybayo, responsable de la recherche et de la stratégie chez Unstoppable Wallet, à Decrypt. “Le contrat ReceiverAxelar personnalisé de CrossCurve exécutait des messages inter-chaînes sans les authentifier suffisamment au préalable.” Dadybayo a indiqué que ce schéma avait déjà été observé lors du piratage de Nomad en 2022.

“La partie la plus difficile de la sécurité des ponts n’est pas la couche de messagerie, c’est de s’assurer que rien ne se passe tant que l’authenticité n’est pas entièrement prouvée,” a-t-il ajouté. “Les récepteurs personnalisés restent le maillon le plus faible. Tant que les ponts concentrent la liquidité et s’appuient sur une logique de validation sur mesure, ils continueront d’être la surface à risque la plus élevée dans la DeFi.”