CrossCurve погрожує судовим позовом після зламу міжланцюгового мосту $3M

Коротко

• CrossCurve у неділю повідомила, що зловмисник використав уразливість у її мостових контрактах і визначила 10 адрес Ethereum, які отримали кошти.
• Її генеральний директор Борис Повар заявив, що їхня команда вживе юридичних та правоохоронних заходів, якщо кошти не будуть повернені протягом 72 годин.
• Фірми з безпеки оцінюють збитки приблизно у 3 мільйони доларів на кількох блокчейнах, хоча CrossCurve ще не підтвердила цю цифру.

Децентралізований фінансовий протокол CrossCurve, раніше відомий як EYWA, повідомляє, що у публічному режимі визначив десять адрес Ethereum, пов’язаних із зломом системи передачі токенів у неділю.
CrossCurve повідомила у неділю після обіду, що зловмисник використав уразливість “уразливості, що полягає у використанні вразливості одного з смарт-контрактів”, які використовуються для її міжланцюгового мосту — системи, яка дозволяє користувачам переміщувати токени між різними блокчейнами.
Через кілька годин генеральний директор CrossCurve Борис Повар повідомив, що команда визначила десять адрес Ethereum, які отримали відповідні кошти.
“Ці токени були неправомірно виведені з користувачів через злом смарт-контракту,” сказав Повар. “Ми не вважаємо, що це було навмисно з вашого боку, і немає ознак зловмисного наміру.”


Повар попередив, що якщо кошти не будуть повернені або не буде встановлено контакт протягом 72 годин, їхня команда “зазначить зловмисний намір і розглядатиме цю справу як судовий питання.”
Невиконання повернення коштів спричинить негайне escalation, включаючи кримінальні направлення, цивільне судочинство, координацію з біржами та емітентами для замороження активів, публічне розкриття даних гаманців і транзакцій, а також співпрацю з правоохоронними органами та фірмами з аналізу блокчейнів, додав Повар.
Смарт-контракт — це програма, яка працює на блокчейні і автоматично виконує транзакції відповідно до заздалегідь визначених правил.

Соціальний акаунт Defimon Alerts, керований фірмою з безпеки блокчейнів Decurity, надав початкову оцінку, що злом призвів до збитків приблизно у 3 мільйони доларів на “кількох мережах,” додавши, що уразливість дозволила зловмиснику надіслати фальшиве міжланцюгове повідомлення на смарт-контракт CrossCurve, яке обійшло перевірки і спричинило випуск коштів мостом.
Фірма з безпеки блокчейнів BlockSec, тим часом, оцінила загальні збитки приблизно у 2,76 мільйона доларів, з яких близько 1,3 мільйона — на Ethereum і близько 1,28 мільйона — на Arbitrum, а також кілька ланцюгів, включаючи Optimism, Base, Mantle, Kava, Frax, Celo і Blast.
CrossCurve ще не підтвердила публічно оцінку збитків, яку назвали фірми з безпеки, і не оприлюднила свою власну цифру щодо постраждалих коштів. Decrypt звернувся до CrossCurve за коментарем.
Злом виник через “відсутність валідації,” повідомила команда BlockSec Decrypt.
“Міжланцюгові повідомлення, які мали бути підтверджені, не були перевірені, що спричинило те, що контракт цільового ланцюга повірив у справжність повідомлення, яке відображало справжню транзакцію, ініційовану у джерельному ланцюгу, і випустив відповідні активи на основі підроблених даних зловмисника,” сказали у BlockSec.
Інцидент показує, що “безпека міжланцюгових систем все ще занадто сильно залежить від одного шляху валідації,” додали у BlockSec. “Якщо будь-який альтернативний шлях виконання обійде цю перевірку, вся модель довіри руйнується.”
“Цей злом не був провалом основного протоколу Axelar; це був провал на стороні отримувача,” сказав Decrypt Дан Дадібайо, керівник досліджень і стратегій у Unstoppable Wallet. “Індивідуальний контракт ReceiverAxelar CrossCurve виконував міжланцюгові повідомлення без достатньої автентифікації.”
Дадібайо зазначив, що цей сценарій вже бачили раніше у випадках, таких як злом Nomad у 2022 році.

“Складність безпеки мостів полягає не у шарі повідомлень, а у тому, щоб нічого не сталося, доки автентичність не буде повністю доведена,” додав він. “Індивідуальні отримувачі залишаються найслабшим місцем. Поки мости концентрують ліквідність і покладаються на індивідуальну логіку валідації, вони залишатимуться найризикованішою частиною DeFi.”