Le protocole crypto CrossCurve victime d'une faille de sécurité de 3 millions de dollars

Le protocole crypto CrossCurve a révélé que son pont inter-chaînes a été compromis, entraînant une perte d'environ 3 millions de dollars sur différents réseaux blockchain. 

Cette attaque a soulevé de nouvelles inquiétudes quant à la sécurité des infrastructures inter-chaînes, une cible récurrente des pirates informatiques dans le secteur des cryptomonnaies. CrossCurve a révélé l'attaque dimanche soir dans une publication sur X, indiquant que son pont était « sous attaque » et qu'une vulnérabilité de ses contrats intelligentstracété exploitée. 

Le protocole a averti les utilisateurs de suspendre immédiatement toute interaction avec CrossCurve pendant que l'équipe enquête sur l'incident. Cette faille a affecté plusieurs réseaux et a démontré l'impact que les vulnérabilités peuvent avoir sur les systèmes inter-chaînes. Les détails de l'attaque ont été fournis par Defimon Alerts, un compte X appartenant à la société de sécurité blockchain Decurity. Selon Defimon Alerts, l'attaquant a compromis untracintelligent de CrossCurve et dérobé environ 3 millions de dollars. 

CrossCurvetracne vérifiait pas correctement les messages inter-chaînes. Cela permettait à n'importe qui d' usurperl'identité d'un message et de le falsifier. L'attaquant pouvait ainsi contourner le mécanisme de validation traditionnel et débloquer des jetons sans autorisation. Plus précisément, Defitractractractractractractractrac. 

Cette fonction a exploité un faux message inter-chaînes et contourné les contrôles de passerelle en l'appelant et en débloquant des jetons sur letracPortalV2. Elle a fait confiance à ce message et les fonds ont été débloqués même après qu'aucune transaction n'ait été effectuée sur la chaîne d'origine. CrossCurve n'a contesté aucune de ces opérations et enquête également sur lestracaffectés. 

Le protocole n'a pas encore confirmé si tous les utilisateurs seront indemnisés pour leurs pertes. Dans une publicationsur X, Curve a conseillé aux utilisateurs dont les droits de vote ont été attribués aux pools CrossCurve de revoir leurs positions et d'envisager de retirer leurs votes. Curve recommande également à tous les investisseurs de rester vigilants et de prendre des décisions éclairées en matière de risques lorsqu'ils interagissent avec des projets tiers.

CrossCurve offre une prime de 10 % pour récupérer les jetons volés

Afin de récupérer les fonds volés, Boris Povar, PDG de CrossCurve, a publiquement contacté les adresses soupçonnées d'avoir reçu des jetons grâce à cette faille de sécurité. Il a communiqué dix adresses blockchain associées aux actifs dérobés et a exigé la restitution des fonds. 

« Les jetons ont été indûment dérobés aux utilisateurs suite à une faille dans untracintelligent », a déclaré Povar dans sa publication. Il a ajouté qu'il n'existait aucune preuve formelle que l'attaque ait été intentionnelle ou malveillante. Povar a sollicité la coopération des utilisateurs pour restituer les fonds et a offert une prime pouvant atteindre 10 % si les jetons étaient restitués sous 72 heures. 

Povar a ajouté que si aucun contact n'était établi ou si les fonds n'étaient pas restitués dans les délais impartis, CrossCurve considérerait l'dent comme une affaire criminelle. Le protocole est prêt à collaborer avec les forces de l'ordre, à intenter des poursuites civiles pour obtenir réparation et à nouer des partenariats avec d'autres entreprises du secteur des cryptomonnaies et les autorités compétentes afin de geler les actifs liés à cette exploitation, a-t-il précisé. 

Ces primes, également appelées récompenses « white hat », sont devenues courantes dans le secteur des cryptomonnaies. Dans certains cas, les auteurs d'attaques ont restitué les fonds en échange d'une prime, tandis que dans d'autres, les fonds sont restés introuvables.

Les failles de sécurité inter-chaînes continuent de ravager le secteur des cryptomonnaies

CrossCurvedent est le dernier d'une longue série d'attaques ciblant les ponts inter-chaînes et les protocoles de finance décentralisée. Ces dernières années, des milliards de dollars ont été perdus suite à des abus de sécurité dans ces ponts. Parmi les cas les plus notables, citons le piratage du pont Ronin, qui a coûté des centaines de millions de dollars, ainsi que les attaques contre les plateformes Wormhole et Nomad. 

Une grande partie de ces problèmes était due à des défaillances de vérification des messages, comme dans l'affaire CrossCurve. Les ponts inter-chaînes, comme les analystes de sécurité le soulignent depuis longtemps, figurent parmi les risques les plus importants du secteur des cryptomonnaies. Même de petites erreurs dans la logique de validation peuvent entraîner la création ou le déverrouillage de jetons et leur utilisation sans garantie, ce qui peut engendrer des pertes considérables en très peu de temps. 

La multiplication des problèmes a contraint les régulateurs, les investisseurs et les développeurs à réclamer des pratiques de sécuritétron, notamment un audit accru, des conceptions simplifiées, des pistes d'audit plus claires et des outils de surveillance. Cependant, comme le montre l'expérience de CrossCurve, des vulnérabilités persistent et il est important de rappeler aux utilisateurs qu'ils restent exposés à des risques importants lorsqu'ils utilisent des protocoles décentralisés.