CrossCurve potwierdza atak na most z około 3 milionami dolarów wyciągniętymi
Protokół płynności międzyłańcuchowej CrossCurve, wcześniej znany jako EYWA, potwierdził, że jego infrastruktura mostowa jest pod aktywnym atakiem po tym, jak wykorzystano lukę w smart kontrakcie na około 3 miliony dolarów w wielu sieciach.
„Nasz most jest obecnie pod atakiem, związanym z wykorzystaniem luki w jednym z używanych smart kontraktów,” powiedział projekt na X, wzywając użytkowników do wstrzymania wszelkich interakcji z CrossCurve, podczas gdy dochodzenie trwa.
Zgodnie z danymi monitorującymi bezpieczeństwo blockchaina Defimon Alerts, przyczyną był brak weryfikacji w kontrakcie ReceiverAxelar. Usterka pozwoliła atakującym na fałszowanie wiadomości międzyłańcuchowych i wywoływanie funkcji expressExecute, omijając weryfikację bramy i uruchamiając nieautoryzowane odblokowywanie tokenów z kontraktu PortalV2 protokołu.
Incydent porównano do eksploatacji mostu Nomad w 2022 roku, która spowodowała straty w wysokości około 190 milionów dolarów po tym, jak setki portfeli wzięły udział w wyciąganiu funduszy. Ekspert ds. bezpieczeństwa Taylor Monahan zauważył podobieństwo, wyrażając obawę, że takie luki wciąż występują lata później.
Dane on-chain wskazują, że saldo kontraktu PortalV2 spadło z około 3 milionów dolarów do niemal zera około 31 stycznia, przy czym eksploatacja dotknęła wiele sieci.
CrossCurve prowadzi zdecentralizowaną giełdę międzyłańcuchową oraz tzw. „most konsensualny” zbudowany we współpracy z Curve Finance. System kieruje transakcje przez wiele niezależnych sieci weryfikacyjnych — w tym Axelar, LayerZero i własną sieć oracle EYWA — w celu zmniejszenia pojedynczych punktów awarii.
Projekt wcześniej podkreślał swoją architekturę bezpieczeństwa jako kluczową mocną stronę, twierdząc, że prawdopodobieństwo, iż kilka protokołów międzyłańcuchowych zostanie zhakowanych jednocześnie, wynosi „prawie zero.” Założyciel Curve Finance, Michael Egorov, zainwestował w protokół we wrześniu 2023 roku, a zespół poinformował, że pozyskał 7 milionów dolarów od firm kapitałowych.
