CrossCurve grasina imtis teisinių veiksmų po 3 mln. USD vertės Cross-Chain Bridge eksploatavimo

Decentralizuotas finansų protokolas „CrossCurve“, anksčiau žinomas kaip EYWA, teigia, kad viešai nustatė dešimt „Ethereum“ adresų, susijusių su sekmadienį įsilaužimu į jos žetonų perdavimo sistemą.

CrossCurve atskleista Sekmadienio popietę užpuolikas pasinaudojo trūkumu, „susijusiu su vienos iš išmaniųjų sutarčių pažeidžiamumo išnaudojimu“, naudojamu jos kryžminės grandinės tiltui – sistemai, kuri leidžia vartotojams perkelti žetonus iš vienos blokų grandinės į kitą.

Po kelių valandų „CrossCurve“ generalinis direktorius Borisas Povaras pasakė komanda nustatė dešimt Ethereum adresų, į kuriuos buvo gautos atitinkamos lėšos.

„Šie žetonai buvo neteisėtai paimti iš vartotojų dėl išmaniojo sutarties išnaudojimo“, – sakė Povaras. „Nemanome, kad tai buvo jūsų tyčinė dalis, ir nėra jokių piktavališkų ketinimų požymių.

Povaras perspėjo, kad jei lėšos nebus grąžintos arba nebus užmegztas ryšys per 72 valandas, jų komanda „priims piktavališkus ketinimus ir traktuos šį klausimą kaip teisminį klausimą“.

Lėšų negrąžinimas iš karto sukeltų eskalaciją, įskaitant baudžiamųjų bylų kreipimąsi, civilinį ieškinį, koordinavimą su biržomis ir emitentais dėl turto įšaldymo, piniginės ir sandorių duomenų viešą atskleidimą ir bendradarbiavimą su teisėsaugos ir blokų grandinės analizės įmonėmis, pridūrė Povaras.

A protinga sutartis yra programa, kuri veikia blokų grandinėje ir automatiškai vykdo operacijas pagal iš anksto nustatytas taisykles.

„Defimon Alerts“, socialinė paskyra, kurią valdo blokų grandinės saugos įmonė „Decurity“, pateikė pradinė sąmata kad dėl išnaudojimo „keliuose tinkluose“ buvo patirta apie 3 mln. „CrossCurve“ išmanioji sutartis kad apeidavo patikrinimus ir dėl to tiltas atlaisvino lėšas.

Tuo tarpu „Blockchain“ saugos įmonė „BlockSec“, įvertintas bendri nuostoliai siekia apie 2,76 mln. USD, įskaitant maždaug 1,3 mln. USD „Ethereum“ ir apie 1,28 mln. USD „Arbitrum“, taip pat keletą tinklų, įskaitant „Optimism“, „Base“, „Mantle“, „Kava“, „Frax“, „Celo“ ir „Blast“.

„CrossCurve“ viešai nepatvirtino saugos firmų nurodytos nuostolių sąmatos ir nepasidalijo savo nukentėjusių lėšų skaičiumi. Iššifruoti susisiekė su „CrossCurve“ dėl komentaro.

„BlockSec“ komanda sakė, kad išnaudojimas kilo dėl „patvirtinimo trūkumo“. Iššifruoti.

„Kryžminės grandinės pranešimai, kurie turėjo būti patvirtinti, nebuvo patikrinti, todėl paskirties grandinės sutartis tikėjo, kad pranešimas atspindi tikrą operaciją, pradėtą ​​šaltinio grandinėje, ir buvo išleistas atitinkamas turtas, pagrįstas užpuoliko suklastotais naudingos apkrovos duomenimis“, – teigė „BlockSec“.

Šis incidentas rodo, kad „kryžminė saugumas vis dar per daug remiasi vienu patvirtinimo keliu“, pridūrė „BlockSec“. „Jei bet kuris alternatyvus vykdymo kelias apeina tą patikrinimą, visas pasitikėjimo modelis žlunga.

„Šis išnaudojimas nebuvo „Axelar“ pagrindinio protokolo gedimas; tai buvo imtuvo pusės gedimas“, – sakė „Unstoppable Wallet“ tyrimų ir strategijos vadovas Danas Dadybayo. Iššifruoti. „CrossCurve tinkinta ReceiverAxelar sutartis įvykdė kryžmines grandines pranešimus, prieš tai jų nepakankamai autentifikavus.

Dadybayo teigė, kad šis modelis anksčiau buvo pastebėtas tokiais atvejais kaip Nomad's 2022 įsilaužimas.

„Sunkioji tilto saugumo dalis yra ne pranešimų sluoksnis, o užtikrinimas, kad niekas neįvyktų, kol autentiškumas nebus visiškai įrodytas“, – pridūrė jis. „Individualūs imtuvai išlieka silpniausia grandimi. Kol tiltai sutelks likvidumą ir remsis užsakyta patvirtinimo logika, jie ir toliau bus didžiausią riziką keliantis DeFi paviršius.