CrossCurve conferma l'attacco al ponte con circa $3 milioni drenati

Il protocollo di liquidità cross-chain CrossCurve, precedentemente conosciuto come EYWA, ha confermato che la sua infrastruttura del ponte è sotto attacco attivo dopo che una vulnerabilità del contratto intelligente è stata sfruttata per circa $3 milioni attraverso più reti.

"Il nostro ponte è attualmente sotto attacco, coinvolgendo lo sfruttamento di una vulnerabilità in uno dei contratti intelligenti utilizzati," ha dichiarato il progetto su X, esortando gli utenti a sospendere tutte le interazioni con CrossCurve mentre l'indagine continua.

Secondo il monitor di sicurezza blockchain Defimon Alerts, la causa principale è stata una mancanza di controllo di validazione nel contratto ReceiverAxelar. La falla ha permesso agli attaccanti di falsificare messaggi cross-chain e chiamare la funzione expressExecute, eludendo la verifica del gateway e attivando sblocchi di token non autorizzati dal contratto PortalV2 del protocollo.

L'incidente ha suscitato confronti con lo sfruttamento del ponte Nomad del 2022, che ha portato a perdite di circa $190 milioni dopo che centinaia di portafogli si sono uniti nel drenare fondi. L'esperto di sicurezza Taylor Monahan ha notato la somiglianza, esprimendo preoccupazione che tali vulnerabilità si verifichino ancora anni dopo.

I dati on-chain indicano che il saldo del contratto PortalV2 è sceso da circa $3 milioni a quasi zero intorno al 31 gennaio, con lo sfruttamento che ha colpito più reti.

CrossCurve gestisce uno scambio decentralizzato cross-chain e un cosiddetto "ponte di consenso" costruito in collaborazione con Curve Finance. Il sistema instrada le transazioni attraverso più reti di validazione indipendenti — inclusi Axelar, LayerZero e la propria rete oracle di EYWA — nel tentativo di ridurre i punti di fallimento singoli.

Il progetto aveva precedentemente evidenziato la propria architettura di sicurezza come una forza chiave, affermando che le probabilità che diversi protocolli cross-chain venissero hackati simultaneamente erano "vicine a zero." Il fondatore di Curve Finance Michael Egorov ha investito nel protocollo a settembre 2023, e il team ha dichiarato di aver raccolto $7 milioni da fondi di venture capital.