CrossCurve تحذر من دعوى قضائية محتملة بعد اختراق جسر السلسلة المتقاطعة بقيمة 3 ملايين دولار

CrossCurve تحدد عناوين Ethereum مرتبطة بالاستغلال الأخير

أعلنت CrossCurve، التي كانت تعرف سابقًا باسم EYWA، أنها تتبعت عشرة عناوين محفظة Ethereum مرتبطة باختراق حديث لآلية نقل الرموز الخاصة بها.

في يوم الأحد، كشف فريق CrossCurve عن وجود ثغرة في أحد عقودها الذكية، والذي يسهل حركة الرموز بين شبكات البلوكشين، وقد استغلها أحد المهاجمين.

في وقت لاحق من ذلك اليوم، أعلن الرئيس التنفيذي Boris Povar أن الفريق حدد عشرة عناوين Ethereum استلمت الأصول المسروقة.

قال Povar: "تم أخذ هذه الرموز من المستخدمين نتيجة لوجود ثغرة في العقد الذكي." وأضاف: "لا نعتقد أن المستلمين قاموا بذلك عن عمد، ولا يوجد دليل على وجود نية خبيثة في الوقت الحالي."

وحذر Povar أنه إذا لم تتم إعادة الأموال أو لم يتم التواصل خلال 72 ساعة، فسيعتبر الفريق هذا الفعل خبيثًا وسيتخذ إجراءات قانونية.

في حال لم يتم استرداد الأصول، تخطط CrossCurve لتصعيد الوضع على الفور. يشمل ذلك إحالة القضية إلى السلطات الجنائية، وبدء إجراءات مدنية، والعمل مع البورصات ومصدري الرموز لتجميد الأصول، ومشاركة تفاصيل المحافظ والمعاملات بشكل علني، والتعاون مع سلطات إنفاذ القانون وشركات تحليل البلوكشين.

فهم العقود الذكية

العقد الذكي هو برنامج ينفذ تلقائياً على البلوكشين ويجري المعاملات بناءً على شروط محددة مسبقاً.

تقديرات الخسائر وتفاصيل الاستغلال

قدرت Defimons، وهي حساب اجتماعي يركز على أمان البلوكشين ويديره Decurity، أن الخرق أدى إلى خسائر تقارب 3 ملايين دولار عبر عدة شبكات. فقد سمح الاستغلال للمهاجم بإرسال رسالة احتيالية بين الشبكات إلى عقد CrossCurve الذكي، متجاوزًا الفحوصات الأمنية ومطلقًا سراح الأموال.

وفي الوقت نفسه، أفادت شركة BlockSec، وهي شركة أخرى متخصصة في أمان البلوكشين، أن إجمالي الخسائر بلغ حوالي 2.76 مليون دولار. ويتضمن ذلك حوالي 1.3 مليون دولار على Ethereum و1.28 مليون دولار على Arbitrum، مع خسائر إضافية موزعة عبر شبكات مثل Optimism وBase وMantle وKava وFrax وCelo وBlast.

لم تؤكد CrossCurve هذه الأرقام بعد أو تقدم تقديرها الخاص لإجمالي الأموال المتأثرة.

تواصلت ديكريبت مع CrossCurve للحصول على تعليق إضافي.

السبب الجذري والرؤى الأمنية

أخبرت BlockSec ديكريبت أن الاستغلال كان نتيجة لعدم كفاية التحقق. "الرسائل بين الشبكات التي كانت تتطلب التحقق لم يتم فحصها بشكل صحيح، مما أدى إلى قبول العقد على الشبكة الوجهة للبيانات المزورة باعتبارها شرعية وإطلاق الأصول بناءً على ذلك"، أوضحت BlockSec.

وأضافت BlockSec أن الحادثة تسلط الضوء على ضعف كبير في أمان الشبكات المتقاطعة، والذي غالبًا ما يعتمد على عملية تحقق واحدة فقط. "إذا كان هناك أي مسار تنفيذ بديل يمكنه تجاوز هذا الفحص، فإن إطار الثقة بأكمله يصبح معرضًا للخطر"، أضافوا.

قال Dan Dadybayo، قائد البحث والاستراتيجية في Unstoppable Wallet، لـديكريبت إن المشكلة لم تكن في بروتوكول Axelar الأساسي، بل في عقد CrossCurve المخصص ReceiverAxelar، الذي كان يعالج الرسائل بين الشبكات دون مصادقة كافية.

وأشار Dadybayo إلى أن ثغرات مماثلة تم استغلالها سابقًا، مستشهداً باختراق جسر Nomad في عام 2022.

وشدد قائلاً: "التحدي الرئيسي في أمان الجسور ليس في طبقة الرسائل نفسها، بل في ضمان عدم اتخاذ أي إجراء حتى يتم التحقق الكامل من الأصالة. غالبًا ما تكون المستقبلات المخصصة هي النقطة الأضعف. طالما أن الجسور تركز السيولة وتعتمد على منطق تحقق مخصص، ستظل هدفًا رئيسيًا في DeFi."