Il protocollo crittografico CrossCurve subisce un exploit da 3 milioni di dollari

Il protocollo crittografico CrossCurve ha rivelato che il suo bridge cross-chain è stato compromesso, con conseguente perdita di circa 3 milioni di dollari su varie reti blockchain. 

L'attacco ha sollevato nuove preoccupazioni in materia di sicurezza relative all'infrastruttura cross-chain, che è stata ripetutamente presa di mira dagli hacker nel settore delle criptovalute. CrossCurve ha rivelato l'attacco domenica sera in un post su X, affermando che il suo bridge era "sotto attacco" e che una vulnerabilità nei suoi smart contracttracstata sfruttata. 

Il protocollo avvisava gli utenti di sospendere immediatamente tutte le interazioni con CrossCurve mentre il team indagava sull'accaduto. L'exploit ha interessato diverse reti e ha dimostrato l'impatto che le debolezze possono avere sui sistemi cross-chain. I dettagli sull'exploit sono stati forniti da Defimon Alerts, un account X appartenente a Decurity, un'azienda di sicurezza blockchain. L'aggressore ha compromesso uno degli smarttracdi CrossCurve e ha rubato circa 3 milioni di dollari, secondo Defimon Alerts. 

Il rapporto affermava inoltre che il contratto di CrossCurvetracverificava correttamente i messaggi cross-chain. Ciò consentiva a chiunque di falsificare, o contraffare, un messaggio apparentemente autentico. In questo modo, l'attaccante era in grado di eludere il tradizionale meccanismo di validazione e sbloccare i token senza autorizzazione. Più nello specifico, Defitractractractractractractractrac. 

Questa funzione sfruttava un messaggio cross-chain fasullo e aggirava i controlli del gateway chiamandolo e sbloccando i token sultracPortalV2. Si fidava di quel messaggio e i fondi venivano rilasciati anche dopo che non era stata effettuata alcuna transazione nella catena originale. CrossCurve non ha contestato nulla di tutto ciò e sta anche indagando suitracinteressati. 

Il protocollo non ha ancora confermato se tutti gli utenti riceveranno un risarcimento per le loro perdite. In un postsu X, Curve ha consigliato agli utenti i cui poteri di voto sono stati concessi ai pool CrossCurve di rivedere le proprie posizioni e valutare la possibilità di revocare i propri voti. Raccomanda inoltre a tutti gli investitori di rimanere vigili e di prendere decisioni consapevoli sui rischi quando interagiscono con progetti di terze parti.

CrossCurve offre una ricompensa del 10% per recuperare i token rubati

Nel tentativo di recuperare i fondi rubati, il CEO di CrossCurve, Boris Povar, ha contattato pubblicamente gli indirizzi sospettati di aver ricevuto token tramite l'exploit. Povar ha condiviso 10 indirizzi blockchain associati ai beni rubati e ha chiesto la restituzione dei fondi, ha affermato. 

I token sono stati "illecitamente sottratti agli utenti a causa di un exploit di smarttrac", ha affermato Povar nel suo post. Non c'erano prove evidenti, ha affermato, che l'attacco fosse intenzionale o doloso. Povar ha chiesto la collaborazione per la restituzione dei fondi e ha offerto una ricompensa fino al 10% se i token fossero stati restituiti entro 72 ore. 

Povar ha aggiunto che, se non fosse stato stabilito alcun contatto o i fondi non fossero stati restituiti entro tale lasso di tempo, CrossCurve avrebbe considerato l'dent un reato. Il protocollo era pronto a coordinarsi con le forze dell'ordine, a intentare cause civili per il risarcimento dei danni e a collaborare con altre criptovalute e autorità per congelare i beni associati all'exploit, ha affermato. 

Tali offerte di ricompensa, note anche come ricompense "white hat", sono diventate comuni nel settore delle criptovalute. In alcuni casi, gli aggressori hanno restituito fondi in cambio di una ricompensa, mentre in altri casi i fondi non sono stati recuperati.

Gli exploit cross-chain continuano a tormentare il settore delle criptovalute

L'dent è l'ultimo di una lunga serie di attacchi mirati a bridge cross-chain e protocolli di finanza decentralizzata. Negli ultimi anni, miliardi di dollari sono stati sprecati a causa degli exploit dei bridge. Tra i casi più degni di nota figurano l'attacco al Ronin Bridge, costato centinaia di milioni di dollari, e gli attacchi alle piattaforme Wormhole e Nomad. 

Gran parte di ciò è dovuto a errori di verifica dei messaggi, proprio come nel caso di CrossCurve. I bridge cross-chain, come gli analisti della sicurezza hanno da tempo avvertito, sono tra i rischi più gravi nel settore delle criptovalute. Anche piccoli errori nella logica di convalida possono portare alla creazione o allo sblocco di token e all'utilizzo di token senza supporto, con conseguenti perdite ingenti in un breve lasso di tempo. 

Il crescente numero di problemi ha costretto autorità di regolamentazione, investitori e programmatori a richiedere pratiche di sicurezza piùtron, tra cui un maggiore controllo, design più semplici, audit trail più chiari e strumenti di monitoraggio. Tuttavia, come dimostra l'esperienza di CrossCurve, le vulnerabilità continuano a presentarsi e gli utenti sono tenuti a ricordare che rimangono esposti a rischi significativi quando interagiscono con protocolli decentralizzati.