CrossCurve potvrzuje útok na most s přibližně 3 miliony dolarů odčerpánými

Protokol pro likviditu napříč řetězci CrossCurve, dříve známý jako EYWA, potvrdil, že jeho mostní infrastruktura je pod aktivním útokem poté, co byla zneužita zranitelnost ve smart kontraktu na přibližně 3 miliony dolarů napříč několika sítěmi.

„Náš most je v současnosti pod útokem, který zahrnuje zneužití zranitelnosti v jednom ze smart kontraktů,“ uvedl projekt na X a vyzval uživatele, aby pozastavili veškeré interakce s CrossCurve, dokud vyšetřování pokračuje.

Podle monitoru bezpečnosti blockchainu Defimon Alerts byla hlavní příčinou chybějící validační kontrola ve smlouvě ReceiverAxelar. Tato chyba umožnila útočníkům falšovat zprávy napříč řetězci a volat funkci expressExecute, čímž obcházeli ověření brány a spouštěli neoprávněné odemykání tokenů z protokolu PortalV2.

Tento incident vyvolal srovnání s exploitací mostu Nomad v roce 2022, která vedla k ztrátám kolem 190 milionů dolarů poté, co se stovky peněženek podílely na odčerpávání prostředků. Bezpečnostní expert Taylor Monahan poznamenal podobnost a vyjádřil obavy, že takové zranitelnosti stále dochází i po letech.

Data na řetězci naznačují, že zůstatek smlouvy PortalV2 klesl z přibližně 3 milionů dolarů na téměř nulu kolem 31. ledna, přičemž exploit ovlivnil několik sítí.

CrossCurve provozuje decentralizovanou burzu napříč řetězci a takzvaný „konzensus most“, který byl postaven ve spolupráci s Curve Finance. Systém směruje transakce přes několik nezávislých validačních sítí — včetně Axelar, LayerZero a vlastního oracle sítě EYWA — ve snaze snížit jednotlivé body selhání.

Projekt již dříve zdůraznil svou bezpečnostní architekturu jako klíčovou sílu, uvádějící, že pravděpodobnost, že několik protokolů napříč řetězci bude napadeno současně, je „téměř nulová.“ Zakladatel Curve Finance Michael Egorov investoval do protokolu v září 2023 a tým uvedl, že získal 7 milionů dolarů od rizikových kapitálových firem.