CrossCurve ameaça ação legal após exploração de ponte cross-chain de US$ 3 milhões

O protocolo financeiro descentralizado CrossCurve, anteriormente conhecido como EYWA, afirma ter identificado publicamente dez endereços Ethereum vinculados a um hack em seu sistema de transferência de tokens no domingo.

Curva Cruzada divulgado Domingo à tarde, um invasor explorou uma falha “envolvendo a exploração de uma vulnerabilidade em um dos contratos inteligentes” usado em sua ponte cross-chain, um sistema que permite aos usuários mover tokens entre diferentes blockchains.

Horas depois, o CEO da CrossCurve, Boris Povar disse a equipe identificou dez endereços Ethereum que receberam os fundos em questão.

“Esses tokens foram retirados indevidamente dos usuários devido a uma exploração de contrato inteligente”, disse Povar. “Não acreditamos que isso tenha sido intencional de sua parte e não há indicação de intenção maliciosa.”

Povar alertou que se os fundos não forem devolvidos ou nenhum contato for estabelecido dentro de 72 horas, sua equipe “assumirá intenção maliciosa e tratará o assunto como uma questão judicial”.

A não devolução dos fundos desencadearia uma escalada imediata, incluindo encaminhamentos criminais, litígios civis, coordenação com bolsas e emissores para congelar ativos, divulgação pública de carteiras e dados de transações e cooperação com autoridades policiais e empresas de análise de blockchain, acrescentou Povar.

UM contrato inteligente é um programa que roda em blockchain e executa transações automaticamente de acordo com regras predefinidas.

Defimon Alerts, uma conta social administrada pela empresa de segurança blockchain Decurity, forneceu um estimativa inicial que a exploração resultou em perdas de cerca de US$ 3 milhões em “várias redes”, acrescentando que a falha permitiu que um invasor enviasse uma mensagem falsa entre cadeias em Contrato inteligente da CrossCurve que contornou os cheques e fez com que a ponte liberasse fundos.

A empresa de segurança Blockchain BlockSec, por sua vez, estimado perdas totais de cerca de US$ 2,76 milhões, incluindo cerca de US$ 1,3 milhão na Ethereum e cerca de US$ 1,28 milhão na Arbitrum, bem como várias redes, incluindo Optimism, Base, Mantle, Kava, Frax, Celo e Blast.

A CrossCurve não confirmou publicamente a estimativa de perdas citada pelas empresas de segurança e não divulgou os seus próprios números para os fundos afetados. Descriptografar entrou em contato com CrossCurve para comentar.

A exploração resultou de uma “falta de validação”, disse a equipe da BlockSec Descriptografar.

“As mensagens entre cadeias que deveriam ter sido validadas não foram verificadas, fazendo com que o contrato da cadeia de destino acreditasse que a mensagem refletia uma transação genuína iniciada na cadeia de origem e liberasse os ativos correspondentes com base em dados de carga útil forjados pelo invasor”, disse BlockSec.

O incidente mostra que “a segurança entre cadeias ainda depende muito de um único caminho de validação”, acrescentou BlockSec. “Se qualquer caminho de execução alternativo ignorar essa verificação, todo o modelo de confiança entrará em colapso.”

“Essa exploração não foi uma falha do protocolo central da Axelar; foi uma falha do lado do receptor”, disse Dan Dadybayo, líder de pesquisa e estratégia da Unstoppable Wallet. Descriptografar. “O contrato ReceiverAxelar personalizado da CrossCurve executou mensagens de cadeia cruzada sem autenticá-las suficientemente primeiro.”

Dadybayo disse que esse padrão já foi visto antes em casos como Hack de 2022 do Nomad.

“A parte difícil da segurança da ponte não é a camada de mensagens, mas sim garantir que nada aconteça até que a autenticidade seja totalmente comprovada”, acrescentou. “Os receptores personalizados continuam a ser o elo mais fraco. Enquanto as pontes concentrarem a liquidez e contarem com uma lógica de validação personalizada, continuarão a ser a superfície de maior risco no DeFi.”