Криптовалютный протокол CrossCurve стал жертвой взлома на сумму 3 миллиона долларов

Криптовалютный протокол CrossCurve сообщил о взломе своего межсетевого моста, что привело к убыткам в размере около 3 миллионов долларов в различных блокчейн-сетях. 

Атака вызвала новые опасения по поводу безопасности кроссчейн-инфраструктуры, которую хакеры неоднократно атаковали в криптоиндустрии. Компания CrossCurve сообщила об атаке поздно вечером в воскресенье в сообщении на платформе X, заявив, что ее мост «подвергся атаке» и чтоtracбыла использована 

Протокол предупреждал пользователей о необходимости немедленно приостановить все взаимодействия с CrossCurve, пока команда выясняет причину произошедшего. Эксплойт затронул несколько сетей и продемонстрировал, какое влияние уязвимости могут оказывать на кроссчейн-системы. Подробности об эксплойте были предоставлены DefiAlerts, аккаунтом X, принадлежащим компании Decurity, занимающейся безопасностью блокчейна. По данным DefiAlerts, злоумышленник скомпрометировал один из смарт-tracCrossCurve и украл около 3 миллионов долларов. 

CrossCurvetracне обеспечивал надлежащую проверку сообщений между цепочками. Это позволяло любой стороне подделыватьсообщения, выглядящие как настоящие. Таким образом, злоумышленник мог обойти традиционный механизм проверки и разблокировать токены без авторизации. В частности, DefiAlerts упомянул, что любой может вызвать функцию expressExecute в контрактеtrac. 

Эта функция использовала поддельное кроссчейн-сообщение и обошла проверки шлюза, вызвав его и разблокировав токены вtracPortalV2. Она доверяла этому сообщению, и средства были разблокированы даже после того, как в исходной цепочке не было совершено ни одной транзакции. CrossCurve не оспаривала эту работу и также проводит расследование в отношении затронутыхtrac. 

Протокол пока не подтвердил, получат ли все пользователи компенсацию за свои убытки. В сообщениина Xкомпания Curve посоветовала пользователям, чьи права голоса были предоставлены пулам CrossCurve, пересмотреть свои позиции и рассмотреть возможность отзыва своих голосов. Она также рекомендует всем инвесторам быть бдительными и принимать взвешенные решения при взаимодействии с проектами третьих сторон.

CrossCurve предлагает вознаграждение в размере 10% за возврат украденных токенов

В попытке вернуть украденные средствагенеральный директор CrossCurve Борис Повар публично связался с адресами, предположительно получившими токены через уязвимость. Повар поделился 10 блокчейн-адресами, связанными с украденными активами, и потребовал вернуть средства, как он заявил. 

Токены были «незаконно изъяты у пользователей из-за уязвимости в смарт-trac», — заявил Повар в своем сообщении. По его словам, нет убедительных доказательств того, что атака была преднамеренной или злонамеренной. Повар попросил о сотрудничестве в возврате средств и предложил вознаграждение в размере до 10%, если токены будут возвращены в течение 72 часов. 

Повар добавил, что если с компанией не свяжутся или средства не будут возвращены в течение указанного срока, CrossCurve расценитdent как уголовное преступление. По его словам, протокол готов координировать действия с правоохранительными органами, подавать гражданские иски для возмещения ущерба и сотрудничать с другими криптопроектами и властями для замораживания активов, связанных с эксплойтом. 

Подобные вознаграждения, также известные как «награды для белых хакеров», стали обычным явлением в криптоиндустрии. В некоторых случаях злоумышленники возвращали средства в обмен на вознаграждение, а в других случаях средства так и не были возвращены.

Уязвимости, затрагивающие несколько блокчейнов, продолжают оставаться серьезной проблемой для криптовалютного сектора

с CrossCurvedent — последний в длинной серии атак, направленных на межсетевые мосты и протоколы децентрализованных финансов. За последние несколько летмиллиарды долларов были потеряны из-за уязвимостей в мостах. К числу известных случаев относятся взлом Ronin Bridge, который обошелся в сотни миллионов долларов, а также атаки на платформы Wormhole и Nomad. 

Во многом это было связано с ошибками проверки сообщений, как и в случае с CrossCurve. Межсетевые мосты, как давно предупреждали аналитики безопасности, являются одними из самых серьезных рисков в криптовалюте. Даже незначительные ошибки в логике проверки могут привести к тому, что токены будут созданы или разблокированы и использованы без обеспечения, что приведет к огромным потерям за короткий период времени. 

Растущее число проблем вынудило регулирующие органы, инвесторов и разработчиков призывать кtronстрогим мерам безопасности, включая усиление аудита, упрощение архитектуры, более четкие журналы аудита и инструменты мониторинга. Но, как показывает опыт CrossCurve, уязвимости все еще возникают, и пользователям напоминают, что они по-прежнему подвергаются значительному риску при работе с децентрализованными протоколами.