CrossCurve ameaça ação legal após exploração $3M de ponte cross-chain

Resumo

• A CrossCurve afirmou no domingo que um atacante explorou uma falha nos seus contratos de ponte e identificou 10 endereços Ethereum que receberam os fundos.
• O seu CEO, Boris Povar, disse que a equipa tomaria ações legais e de execução se os fundos não fossem devolvidos dentro de 72 horas.
• Empresas de segurança estimam perdas de aproximadamente 3 milhões de dólares em várias blockchains, embora a CrossCurve ainda não tenha confirmado esse valor.

O protocolo de finanças descentralizadas CrossCurve, anteriormente conhecido como EYWA, afirma ter identificado publicamente dez endereços Ethereum ligados a um hack do seu sistema de transferência de tokens no domingo.
A CrossCurve revelou na tarde de domingo que um atacante explorou uma falha “que envolvia a exploração de uma vulnerabilidade em um dos contratos inteligentes” usados na sua ponte cross-chain, um sistema que permite aos utilizadores mover tokens entre diferentes blockchains.
Horas depois, o CEO da CrossCurve, Boris Povar, afirmou que a equipa tinha identificado dez endereços Ethereum que receberam os fundos em questão.
“Estes tokens foram indevidamente retirados dos utilizadores devido a uma exploração de contrato inteligente,” disse Povar. “Não acreditamos que isso tenha sido intencional da vossa parte, e não há indicação de intenção maliciosa.”


Povar alertou que, se os fundos não forem devolvidos ou se não for estabelecido contacto dentro de 72 horas, a sua equipa “assumirá intenção maliciosa e tratará o assunto como uma questão judicial.”
A não devolução dos fundos acionaria uma escalada imediata, incluindo encaminhamento para as autoridades criminais, ações civis, coordenação com bolsas e emissores para congelar ativos, divulgação pública de dados de carteiras e transações, e cooperação com as forças de segurança e empresas de análise de blockchain, acrescentou Povar.
Um contrato inteligente é um programa que funciona numa blockchain e executa automaticamente transações de acordo com regras predefinidas.

A conta social de alertas Defimon, gerida pela empresa de segurança blockchain Decurity, forneceu uma estimativa inicial de que a exploração resultou em perdas de cerca de 3 milhões de dólares em “várias redes,” acrescentando que a falha permitiu a um atacante enviar uma mensagem falsa cross-chain no contrato inteligente da CrossCurve que contornou verificações e fez a ponte liberar fundos.
A empresa de segurança blockchain BlockSec, por sua vez, estimou perdas totais de cerca de 2,76 milhões de dólares, incluindo aproximadamente 1,3 milhões na Ethereum e cerca de 1,28 milhões na Arbitrum, bem como várias outras cadeias, incluindo Optimism, Base, Mantle, Kava, Frax, Celo e Blast.
A CrossCurve não confirmou publicamente a estimativa de perdas citada pelas empresas de segurança, nem partilhou o seu próprio valor para os fundos afetados. Decrypt entrou em contacto com a CrossCurve para comentários.
A exploração resultou de uma “falta de validação,” disseram à Decrypt os membros da equipe da BlockSec.
“As mensagens cross-chain que deveriam ter sido validadas não foram verificadas, fazendo com que o contrato da cadeia de destino acreditasse que a mensagem refletia uma transação genuína iniciada na cadeia de origem e liberasse os ativos correspondentes com base em dados de carga útil forjados pelo atacante,” explicou a BlockSec.
O incidente demonstra que “a segurança cross-chain ainda depende demasiado de um único caminho de validação,” acrescentou a BlockSec. “Se qualquer caminho alternativo de execução contornar essa verificação, todo o modelo de confiança colapsa.”
“Este exploit não foi uma falha do protocolo principal da Axelar; foi uma falha do lado do receptor,” disse Dan Dadybayo, líder de pesquisa e estratégia na Unstoppable Wallet, à Decrypt. “O contrato ReceiverAxelar personalizado da CrossCurve executou mensagens cross-chain sem as autenticar suficientemente primeiro.”
Dadybayo afirmou que este padrão já foi visto antes em casos como o hack da Nomad em 2022.

“A parte mais difícil da segurança de pontes não é a camada de mensagens, é garantir que nada aconteça até que a autenticidade seja totalmente comprovada,” acrescentou. “Receptores personalizados continuam a ser o elo mais fraco. Enquanto as pontes concentrarem liquidez e dependerem de lógica de validação feita sob medida, continuarão a ser a superfície de maior risco no DeFi.”