CrossCurve Mengancam Tindakan Hukum Setelah Eksploitasi Jembatan Cross-Chain $3M

Singkatnya

• CrossCurve mengatakan hari Minggu bahwa seorang penyerang memanfaatkan celah dalam kontrak jembatannya dan mengidentifikasi 10 alamat Ethereum yang menerima dana tersebut.
• CEO-nya, Boris Povar, mengatakan tim mereka akan menempuh tindakan hukum dan penegakan hukum jika dana tidak dikembalikan dalam waktu 72 jam.
• Perusahaan keamanan memperkirakan kerugian sekitar $3 juta di berbagai blockchain, meskipun CrossCurve belum mengonfirmasi angka tersebut.

Protokol keuangan terdesentralisasi CrossCurve, sebelumnya dikenal sebagai EYWA, mengatakan telah mengidentifikasi secara publik sepuluh alamat Ethereum yang terkait dengan peretasan sistem transfer tokennya pada hari Minggu.
CrossCurve mengungkapkan pada sore hari Minggu bahwa seorang penyerang memanfaatkan celah “yang melibatkan eksploitasi kerentanan dalam salah satu kontrak pintar” yang digunakan untuk jembatan lintas rantai, sebuah sistem yang memungkinkan pengguna memindahkan token antar berbagai blockchain.
Beberapa jam kemudian, CEO CrossCurve Boris Povar mengatakan tim mereka telah mengidentifikasi sepuluh alamat Ethereum yang menerima dana tersebut.
“Token ini secara tidak sah diambil dari pengguna karena adanya eksploitasi kontrak pintar,” kata Povar. “Kami tidak percaya ini dilakukan secara sengaja oleh pihak Anda, dan tidak ada indikasi niat jahat.”

Gambar ilustrasi tentang peretasan dan keamanan blockchain

Povar memperingatkan bahwa jika dana tidak dikembalikan atau tidak ada kontak yang terjalin dalam waktu 72 jam, tim mereka akan “menganggap niat jahat dan memperlakukan masalah ini sebagai masalah yudisial.”
Kegagalan untuk mengembalikan dana akan memicu eskalasi langsung, termasuk rujukan kriminal, litigasi sipil, koordinasi dengan bursa dan penerbit untuk membekukan aset, pengungkapan data dompet dan transaksi secara publik, serta kerja sama dengan penegak hukum dan perusahaan analitik blockchain, tambah Povar.
Kontrak pintar adalah program yang berjalan di blockchain dan secara otomatis mengeksekusi transaksi sesuai aturan yang telah ditetapkan.

Akun sosial Defimon Alerts yang dijalankan oleh perusahaan keamanan blockchain Decurity memberikan perkiraan awal bahwa eksploitasi tersebut menyebabkan kerugian sekitar $3 juta di beberapa “jaringan,” menambahkan bahwa celah tersebut memungkinkan penyerang mengirim pesan lintas rantai palsu di kontrak pintar CrossCurve yang melewati pemeriksaan dan menyebabkan jembatan melepaskan dana.
Perusahaan keamanan blockchain BlockSec, sementara itu, memperkirakan total kerugian sekitar $2,76 juta, termasuk sekitar $1,3 juta di Ethereum dan sekitar $1,28 juta di Arbitrum, serta beberapa rantai lainnya, termasuk Optimism, Base, Mantle, Kava, Frax, Celo, dan Blast.
CrossCurve belum secara publik mengonfirmasi perkiraan kerugian yang disebutkan oleh perusahaan keamanan, dan belum membagikan angka mereka sendiri untuk dana yang terpengaruh. Decrypt telah menghubungi CrossCurve untuk komentar.
Eksploitasi ini berasal dari “kurangnya validasi,” kata tim di BlockSec kepada Decrypt.
“Pesan lintas rantai yang seharusnya divalidasi tidak diverifikasi, menyebabkan kontrak rantai tujuan percaya bahwa pesan tersebut mencerminkan transaksi asli yang dimulai di rantai sumber dan melepaskan aset yang sesuai berdasarkan data payload yang dipalsukan oleh penyerang,” kata BlockSec.
Insiden ini menunjukkan bahwa “keamanan lintas rantai masih terlalu bergantung pada satu jalur validasi,” tambah BlockSec. “Jika jalur eksekusi alternatif melewati pemeriksaan tersebut, seluruh model kepercayaan akan runtuh.”
“Eksploitasi ini bukan kegagalan dari protokol inti Axelar; ini adalah kegagalan di sisi penerima,” kata Dan Dadybayo, pemimpin riset dan strategi di Unstoppable Wallet, kepada Decrypt. “Kontrak ReceiverAxelar kustom CrossCurve mengeksekusi pesan lintas rantai tanpa memverifikasi keasliannya terlebih dahulu.”
Dadybayo mengatakan pola ini pernah terlihat sebelumnya dalam kasus peretasan Nomad tahun 2022.

“Bagian tersulit dari keamanan jembatan bukanlah lapisan pesan, melainkan memastikan tidak ada yang terjadi sampai keaslian terbukti sepenuhnya,” tambahnya. “Penerima kustom tetap menjadi tautan terlemah. Selama jembatan mengkonsentrasikan likuiditas dan bergantung pada logika validasi khusus, mereka akan terus menjadi permukaan risiko tertinggi di DeFi.”