去中心化金融協議 CrossCurve,前身為 EYWA,表示已於星期日公開識別出與其代幣轉移系統被駭相關的十個以太坊地址。
CrossCurve 在星期日下午披露,一名攻擊者利用了“涉及利用其跨鏈橋合約中的漏洞”的缺陷,這是一個允許用戶在不同區塊鏈之間轉移代幣的系統。
數小時後,CrossCurve 的執行長 Boris Povar 表示,團隊已經識別出十個接收資金的以太坊地址。
“這些代幣因智能合約漏洞被錯誤地從用戶那裡取走,” Povar 說。“我們不認為這是你的故意行為,也沒有任何惡意的跡象。”
Povar 警告,如果資金未在 72 小時內歸還或未建立聯繫,他們的團隊將“假設存在惡意意圖,並將此事作為司法問題處理。”
未能歸還資金將立即升級,包括刑事轉介、民事訴訟、與交易所和發行者協調凍結資產、公開錢包和交易數據,以及與執法機關和區塊鏈分析公司合作,Povar 補充說。
智能合約是一種在區塊鏈上運行的程式,根據預定規則自動執行交易。
由區塊鏈安全公司 Decurity 運營的社交帳號 Defimon Alerts 提供了初步估計,認為此次漏洞導致“多個網絡”損失約 300 萬美元,並補充說,該缺陷讓攻擊者能在 CrossCurve 的智能合約上發送假跨鏈訊息,繞過檢查,導致橋接合約釋放資金。
區塊鏈安全公司 BlockSec 同時估計總損失約為 276 萬美元,包括約 130 萬美元在以太坊上,約 128 萬美元在 Arbitrum,以及其他多條鏈,包括 Optimism、Base、Mantle、Kava、Frax、Celo 和 Blast。
CrossCurve 尚未公開確認安全公司引用的損失估計,也未分享其自身的受影響資金數字。Decrypt 已聯繫 CrossCurve 詢問評論。
BlockSec 團隊表示,這次漏洞源於“缺乏驗證”。
“本應驗證的跨鏈訊息未經驗證,導致目標鏈合約誤以為該訊息反映了源鏈上啟動的真實交易,並根據攻擊者偽造的有效載荷數據釋放資產,” BlockSec 說。
事件顯示,“跨鏈安全仍過度依賴單一驗證途徑,” BlockSec 補充。“如果任何替代執行路徑繞過該檢查,整個信任模型就會崩潰。”
Unstoppable Wallet 的研究與策略主管 Dan Dadybayo 告訴 Decrypt:“這次的漏洞不是 Axelar 核心協議的失誤,而是接收端的失誤。CrossCurve 的自訂 ReceiverAxelar 合約在執行跨鏈訊息時,沒有先進行充分的驗證。”
Dadybayo 表示,這種模式在 Nomad 2022 年的駭客事件中曾經出現過。
“橋接安全的難點不在訊息層,而在於確保在完全證明真實性之前不會發生任何事情,”他補充說。“自訂接收器仍然是最薄弱的環節。只要橋接集中流動性並依賴定制的驗證邏輯,它們就會繼續是 DeFi 中最高風險的表面。”
