تعرض بروتوكول العملات المشفرة CrossCurve لثغرة أمنية بقيمة 3 ملايين دولار

كشف بروتوكول العملات المشفرة CrossCurve عن تعرض جسر الربط بين السلاسل الخاص به للاختراق، مما أدى إلى خسارة حوالي 3 ملايين دولار عبر شبكات البلوك تشين المختلفة. 

أثار الهجوم مخاوف أمنية جديدة بشأن البنية التحتية للشبكات متعددة السلاسل، والتي استهدفها المخترقون مرارًا وتكرارًا في صناعة العملات المشفرة. وكشفت شركة كروس كيرف عن الهجوم في وقت متأخر من مساء الأحد في منشور على منصة Xالذكيةtracقد تم استغلالها. 

حذّر البروتوكول المستخدمين من ضرورة إيقاف جميع تفاعلاتهم مع CrossCurve فورًا ريثما يُجري الفريق تحقيقًا في الحادث. وقد أثّر هذا الاختراق على عدة شبكات، مُظهرًا مدى تأثير نقاط الضعف على أنظمة سلاسل الكتل المتعددة. وقدّمت DefiAlerts، وهي حساب X تابع لشركة Decurity المتخصصة في أمن سلاسل الكتل، تفاصيل حول هذا الاختراق. ووفقًا لـ DefiAlerts، فقد اخترق المهاجم أحدtracCrossCurve الذكية وسرق ما يقارب 3 ملايين دولار. 

أشار التقرير أيضًا إلى أن عقد CrossCurvetracيتحقق بشكل صحيح من الرسائل عبر السلاسل. وقد مكّن هذا أي طرف من انتحالأو تزييف رسالة تبدو أصلية. وبالتالي، تمكن المهاجم من تجاوز آلية التحقق التقليدية وفتح الرموز المميزة دون ترخيص. وبشكل أكثر تحديدًا، Defitractractractractractractractrac. 

استغلت هذه الوظيفة رسالة مزيفة عبر السلاسل وتجاوزت عمليات التحقق من البوابة عن طريق استدعائها وفتح الرموز المميزة علىtracPortalV2. وقد وثقت بتلك الرسالة، وتم تحرير الأموال حتى بعد عدم إجراء أي معاملة في السلسلة الأصلية. لم تعترض CrossCurve على أي من هذا العمل، وهي تُجري أيضًا تحقيقًا فيtracالمتأثرة. 

لم يؤكد البروتوكول بعد ما إذا كان جميع المستخدمين سيحصلون على تعويضات عن خسائرهم. وفي منشورعلى منصة X، نصحت شركة Curve المستخدمين الذين مُنحوا صلاحيات التصويت في مجمعات CrossCurve بمراجعة مراكزهم والنظر في سحب أصواتهم. كما أوصت جميع المستثمرين بالبقاء على اطلاع واتخاذ قرارات مدروسة بشأن المخاطر عند التعامل مع مشاريع جهات خارجية.

تقدم CrossCurve مكافأة بنسبة 10% لاستعادة الرموز المسروقة

في محاولة لاستعادة الأموال المسروقة، تواصل الرئيس التنفيذي لشركة كروس كيرف، بوريس بوفار، علنًا مع العناوين المشتبه في تلقيها رموزًا رقمية عبر الثغرة الأمنية. وأوضح بوفار أنه شارك عشرة عناوين على شبكة البلوك تشين مرتبطة بالأصول المسروقة، وطلب إعادة الأموال. 

قال بوفار في منشوره إن الرموز "سُرقت من المستخدمين بطريقة غير مشروعة نتيجة استغلال ثغرة فيtracالذكية". وأضاف أنه لا يوجد دليل قاطع على أن الهجوم كان متعمداً أو خبيثاً. وطلب بوفار التعاون لإعادة الأموال، وعرض مكافأة تصل إلى 10% لمن يعيد الرموز خلال 72 ساعة. 

وأضاف بوفار أنه في حال عدم التواصل أو عدم إعادة الأموال خلال تلك الفترة، ستعتبر كروسdent الحادثة قضية جنائية. وأكد أن البروتوكول جاهز للتنسيق مع جهات إنفاذ القانون، ورفع دعاوى مدنية لاسترداد الأضرار، والتعاون مع مشاريع العملات الرقمية الأخرى والسلطات لتجميد الأصول المرتبطة بالاختراق. 

أصبحت عروض المكافآت هذه، والمعروفة أيضاً بمكافآت "القبعة البيضاء"، شائعة في صناعة العملات الرقمية. في بعض الحالات، أعاد المهاجمون الأموال مقابل المكافأة، بينما في حالات أخرى، لم يتم استرداد الأموال.

لا تزال عمليات الاستغلال عبر السلاسل تشكل مشكلة كبيرة في قطاع العملات المشفرة

هجوم CrossCurvedent الأحدث في سلسلة طويلة من الهجمات التي تستهدف جسور الربط بين سلاسل الكتل وبروتوكولات التمويل اللامركزي. على مدى السنوات القليلة، تبخرت مليارات الدولارات نتيجة استغلال ثغرات في هذه الجسور. ومن أبرز الأمثلة على ذلك اختراق جسر Ronin، الذي كلّف مئات الملايين من الدولارات، بالإضافة إلى الهجمات على منصتي Wormhole وNomad. 

يعود جزء كبير من ذلك إلى إخفاقات في التحقق من الرسائل، كما حدث في حالة CrossCurve. تُعدّ جسور الربط بين سلاسل الكتل، كما حذّر محللو الأمن منذ فترة طويلة، من أخطر المخاطر في عالم العملات الرقمية. حتى الأخطاء البسيطة في منطق التحقق قد تؤدي إلى سكّ أو فتح رموز واستخدامها دون ضمانات، مما يُسبب خسائر فادحة في فترة وجيزة. 

أجبر تزايد المشاكل الجهات التنظيمية والمستثمرين والمبرمجين على المطالبة بممارسات أمنية أكثرtron، تشمل تدقيقًا أكثر دقة، وتصاميم أبسط، وسجلات تدقيق أكثر وضوحًا، وأدوات مراقبة متطورة. ولكن، كما تُظهر تجربة CrossCurve، لا تزال الثغرات الأمنية قائمة، ويُذكَّر المستخدمون بأنهم ما زالوا مُعرَّضين لمخاطر كبيرة عند استخدام البروتوكولات اللامركزية.