去中心化金融协议 CrossCurve,前身为 EYWA,表示已在周日公开确认了十个与其代币转移系统被黑有关的以太坊地址。
CrossCurve 在周日下午披露,一名攻击者利用了其跨链桥使用的“智能合约中的漏洞”,该系统允许用户在不同区块链之间转移代币。
数小时后,CrossCurve 首席执行官 Boris Povar 表示,团队已确认十个接收相关资金的以太坊地址。
“这些代币因智能合约漏洞被错误地从用户账户中转走,”Povar 说。“我们不认为这是你的故意行为,也没有恶意意图的迹象。”
Povar 警告称,如果在72小时内未归还资金或未取得联系,他们的团队将“假定存在恶意意图,并将此事作为司法问题处理。”
未归还资金将立即升级处理,包括刑事转介、民事诉讼、与交易所和发行方协调冻结资产、公开钱包和交易数据,以及配合执法和区块链分析公司,Povar 补充说。
智能合约是一种在区块链上运行的程序,按照预定义规则自动执行交易。
区块链安全公司 Decurity 运营的社交账号 Defimon Alerts 提供了初步估算,认为此次漏洞导致“多个网络”损失约300万美元,补充说漏洞允许攻击者在 CrossCurve 的智能合约上发送伪造的跨链消息,绕过检查,导致桥接释放资金。
区块链安全公司 BlockSec 估算总损失约276万美元,包括在以太坊上的约130万美元、在 Arbitrum 上的约128万美元,以及包括 Optimism、Base、Mantle、Kava、Frax、Celo 和 Blast 在内的多个链。
CrossCurve 尚未公开确认安全公司引用的损失估算,也未公布其自身的受影响资金数字。Decrypt 已联系 CrossCurve 寻求评论。
BlockSec 团队告诉 Decrypt,此次漏洞源于“验证不足”。
“本应验证的跨链消息未经过验证,导致目标链合约误以为该消息反映了源链发起的真实交易,并根据攻击者伪造的有效载荷释放了相应资产,”BlockSec 表示。
事件显示,“跨链安全仍过于依赖单一验证路径,”BlockSec 补充说。
“如果任何备用执行路径绕过了该验证,整个信任模型就会崩溃。”
Unstoppable Wallet 的研究与策略负责人 Dan Dadybayo 告诉 Decrypt,这次漏洞不是 Axelar 核心协议的失败,而是接收端的失败。
“CrossCurve 的定制 ReceiverAxelar 合约在执行跨链消息时,没有充分验证其真实性。”
Dadybayo 表示,这种模式在 Nomad 2022 年的黑客事件中也曾出现过。
“桥接安全的难点不在消息层,而在于确保在真实性完全验证之前,什么都不发生,”他补充说。
“定制接收器仍然是最薄弱的环节。只要桥接集中流动性并依赖定制验证逻辑,它们就会继续成为 DeFi 中风险最高的环节。”
