CrossCurve угрожает судебным преследованием после эксплойта кросс-чейн моста с идентификатором $3M , который был использован злоумышленниками для взлома системы. Компания заявила, что предпримет все необходимые юридические меры для защиты своих интересов и пользователей.

Вкратце

• CrossCurve заявил в воскресенье, что злоумышленник использовал уязвимость в его мостовых контрактах и выявил 10 адресов Ethereum, которые получили средства.
• Его генеральный директор, Борис Повар, заявил, что их команда предпримет юридические и правоохранительные меры, если средства не будут возвращены в течение 72 часов.
• Компании по безопасности оценивают потери примерно в 3 миллиона долларов на нескольких блокчейнах, хотя CrossCurve еще не подтвердил эту цифру.

Децентрализованный финансовый протокол CrossCurve, ранее известный как EYWA, заявил, что публично идентифицировал десять адресов Ethereum, связанные с хакерской атакой на его систему передачи токенов в воскресенье.
CrossCurve сообщил в воскресенье после обеда, что злоумышленник использовал уязвимость «в одной из умных контрактов», используемых для его кросс-чейн моста, системы, которая позволяет пользователям перемещать токены между разными блокчейнами.
Несколько часов спустя генеральный директор CrossCurve Борис Повар заявил, что команда выявила десять адресов Ethereum, которые получили соответствующие средства.
«Эти токены были неправомерно украдены у пользователей из-за эксплуатации уязвимости в умном контракте», — сказал Повар. «Мы не считаем, что это было сделано умышленно с вашей стороны, и нет признаков злого умысла.»


Повар предупредил, что если средства не будут возвращены или не будет установлено контакта в течение 72 часов, их команда «предположит злонамеренный умысел и будет рассматривать этот вопрос как судебное дело».
Несвоевременное возвращение средств вызовет немедленную эскалацию, включая уголовные направления, гражданские иски, координацию с биржами и эмитентами для заморозки активов, публичное раскрытие данных о кошельках и транзакциях, а также сотрудничество с правоохранительными органами и фирмами по аналитике блокчейна, добавил Повар.
Умный контракт — это программа, которая работает на блокчейне и автоматически выполняет транзакции согласно заранее определенным правилам.

Социальный аккаунт Defimon Alerts, управляемый компанией по безопасности блокчейна Decurity, предоставил предварительную оценку, что уязвимость привела к потерям около 3 миллионов долларов на «нескольких сетях», добавив, что уязвимость позволила злоумышленнику отправить фальшивое кросс-чейн сообщение в умный контракт CrossCurve, которое обошло проверки и вызвало выпуск средств мостом.
Между тем, компания по безопасности блокчейна BlockSec оценила общие потери примерно в 2,76 миллиона долларов, включая около 1,3 миллиона долларов на Ethereum и около 1,28 миллиона долларов на Arbitrum, а также на нескольких цепочках, включая Optimism, Base, Mantle, Kava, Frax, Celo и Blast.
CrossCurve не подтвердил публично оценку потерь, приведенную компаниями по безопасности, и не поделился своей собственной цифрой по пострадавшим средствам. Decrypt обратился к CrossCurve за комментарием.
Уязвимость возникла из-за «отсутствия валидации», сообщили Decrypt в команде BlockSec.
«Кросс-чейн сообщения, которые должны были быть проверены, не были подтверждены, что привело к тому, что контракт назначения считал сообщение настоящей транзакцией, инициированной в исходной цепочке, и выпустил соответствующие активы на основе поддельных данных злоумышленника», — сказал BlockSec.
Инцидент показывает, что «безопасность кросс-чейна все еще слишком сильно зависит от одного пути валидации», добавил BlockSec. «Если любой альтернативный путь выполнения обойдет эту проверку, вся модель доверия рухнет.»
«Эта уязвимость не была сбоем основного протокола Axelar; это была ошибка на стороне получателя», — сказал Дэн Дадибайо, руководитель исследований и стратегий в Unstoppable Wallet, Decrypt. «Пользовательский контракт ReceiverAxelar CrossCurve выполнял кросс-чейн сообщения без достаточной аутентификации.»
Дадибайо отметил, что такую проблему уже наблюдали ранее, например, в случае взлома Nomad в 2022 году.

«Самая сложная часть безопасности моста — это слой сообщений, убедиться, что ничего не происходит, пока не будет полностью подтверждена подлинность», — добавил он. «Пользовательские получатели остаются самым слабым звеном. Пока мосты концентрируют ликвидность и полагаются на индивидуальную логику валидации, они останутся наибольшим риском в DeFi.»