Il protocollo crittografico CrossCurve ha rivelato che il suo bridge cross-chain è stato compromesso, con conseguente perdita di circa 3 milioni di dollari su varie reti blockchain.
L'attacco ha sollevato nuove preoccupazioni sulla sicurezza dell'infrastruttura cross-chain, che gli hacker hanno ripetutamente preso di mira nel settore delle criptovalute. CrossCurve ha rivelato l'attacco domenica sera in un post su X , affermando che il suo bridge era "sotto attacco" e che era stata sfruttata una vulnerabilità nei suoi smart contract.
Il protocollo avvisava gli utenti di sospendere immediatamente tutte le interazioni con CrossCurve mentre il team indagava sull'accaduto. L'exploit ha interessato diverse reti e ha dimostrato l'impatto che le debolezze possono avere sui sistemi cross-chain. I dettagli sull'exploit sono stati forniti da Defimon Alerts, un account X appartenente a Decurity, un'azienda di sicurezza blockchain. Secondo Defimon Alerts, l'aggressore ha compromesso uno degli smart contract di CrossCurve e ha rubato circa 3 milioni di dollari.
Il rapporto affermava inoltre che il contratto di CrossCurve non verificava correttamente i messaggi cross-chain. Ciò consentiva a chiunque di falsificare , o falsificare, un messaggio apparentemente autentico. Pertanto, l'aggressore era in grado di aggirare il tradizionale meccanismo di convalida e sbloccare i token senza autorizzazione. Più specificamente, Defimon Alerts ha affermato che chiunque può invocare una funzione chiamata expressExecute nel contratto ReceiverAxelar.
Questa funzione sfruttava un messaggio cross-chain fasullo e aggirava i controlli del gateway chiamandolo e sbloccando i token sul contratto PortalV2. Si fidava di quel messaggio e i fondi venivano rilasciati anche dopo che non era stata effettuata alcuna transazione nella catena originale. CrossCurve non ha contestato nulla di tutto ciò e sta indagando sui contratti interessati.
Il protocollo non ha ancora confermato se tutti gli utenti riceveranno un risarcimento per le loro perdite. In un post su X , Curve ha consigliato agli utenti i cui poteri di voto sono stati concessi ai pool CrossCurve di rivedere le proprie posizioni e valutare la possibilità di revocare i propri voti. Raccomanda inoltre a tutti gli investitori di rimanere vigili e di prendere decisioni consapevoli sui rischi quando interagiscono con progetti di terze parti.
CrossCurve offre una ricompensa del 10% per recuperare i token rubati
Nel tentativo di recuperare i fondi rubati , il CEO di CrossCurve, Boris Povar, ha contattato pubblicamente gli indirizzi sospettati di aver ricevuto token tramite l'exploit. Povar ha condiviso 10 indirizzi blockchain associati ai beni rubati e ha chiesto la restituzione dei fondi, ha affermato.
I token sono stati "illecitamente sottratti agli utenti a causa di un exploit di smart contract", ha affermato Povar nel suo post. Non c'erano prove evidenti, ha affermato, che l'attacco fosse intenzionale o doloso. Povar ha chiesto la collaborazione per la restituzione dei fondi e ha offerto una ricompensa fino al 10% se i token fossero stati restituiti entro 72 ore.
Povar ha aggiunto che, se non fosse stato stabilito alcun contatto o i fondi non fossero stati restituiti entro tale lasso di tempo, CrossCurve avrebbe considerato l'incidente un reato. Il protocollo era pronto a coordinarsi con le forze dell'ordine, a intentare cause civili per il risarcimento dei danni e a collaborare con altre criptovalute e autorità per congelare i beni associati all'exploit, ha affermato.
Tali offerte di ricompensa, note anche come ricompense "white hat", sono diventate comuni nel settore delle criptovalute. In alcuni casi, gli aggressori hanno restituito fondi in cambio di una ricompensa, mentre in altri casi i fondi non sono stati recuperati.
Gli exploit cross-chain continuano a tormentare il settore delle criptovalute
L'incidente di CrossCurve è l'ultimo di una lunga serie di attacchi mirati a bridge cross-chain e protocolli di finanza decentralizzata. Negli ultimi anni , miliardi di dollari sono stati spesi per exploit di bridge. Tra i casi più degni di nota figurano l'attacco a Ronin Bridge, costato centinaia di milioni di dollari, e gli attacchi alle piattaforme Wormhole e Nomad.
Gran parte di ciò è dovuto a errori di verifica dei messaggi, proprio come nel caso di CrossCurve. I bridge cross-chain, come gli analisti della sicurezza hanno da tempo avvertito, sono tra i rischi più gravi nel settore delle criptovalute. Anche piccoli errori nella logica di convalida possono portare alla creazione o allo sblocco di token e all'utilizzo di token senza supporto, con conseguenti perdite ingenti in un breve lasso di tempo.
Il crescente numero di problemi ha costretto autorità di regolamentazione, investitori e programmatori a richiedere pratiche di sicurezza più rigorose, tra cui un maggiore controllo, design più semplici, audit trail più chiari e strumenti di monitoraggio. Tuttavia, come dimostra l'esperienza di CrossCurve, le vulnerabilità continuano a emergere e gli utenti sono tenuti a ricordare che continuano a essere esposti a rischi significativi quando interagiscono con protocolli decentralizzati.
Le menti più brillanti del mondo delle criptovalute leggono già la nostra newsletter. Vuoi partecipare? Unisciti a loro .