CrossCurve warnt vor möglicher Klage nach $3 Millionen Cross-Chain-Bridge-Hack

CrossCurve identifiziert Ethereum-Adressen, die mit dem jüngsten Exploit in Verbindung stehen

CrossCurve, zuvor bekannt als EYWA, hat bekannt gegeben, dass es zehn Ethereum-Wallet-Adressen ausfindig gemacht hat, die mit einem kürzlichen Angriff auf seinen Token-Transfer-Mechanismus in Verbindung stehen.

Am Sonntag enthüllte das CrossCurve-Team, dass eine Schwachstelle in einem seiner Smart Contracts, der den Token-Transfer zwischen Blockchains ermöglicht, von einem Angreifer ausgenutzt wurde.

Später am selben Tag gab CEO Boris Povar bekannt, dass das Team zehn Ethereum-Adressen identifiziert habe, die die gestohlenen Vermögenswerte erhalten hätten.

„Diese Token wurden aufgrund einer Schwachstelle im Smart Contract von Nutzern entwendet“, erklärte Povar. „Wir gehen derzeit nicht davon aus, dass die Empfänger dies vorsätzlich getan haben, und es gibt momentan keinerlei Hinweise auf böswillige Absichten.“

Povar warnte, dass das Team den Vorgang als böswillig betrachten und rechtliche Schritte einleiten werde, falls die Gelder nicht zurückgegeben werden oder keine Kommunikation innerhalb von 72 Stunden zustande kommt.

Sollten die Vermögenswerte nicht wiederhergestellt werden, plant CrossCurve, die Situation umgehend zu eskalieren. Dies umfasst die Übergabe des Falls an Strafverfolgungsbehörden, die Einleitung zivilrechtlicher Verfahren, die Zusammenarbeit mit Börsen und Token-Emittenten zur Einfrierung der Vermögenswerte, die öffentliche Bekanntgabe von Wallet- und Transaktionsdetails sowie die Kooperation mit Strafverfolgungsbehörden und Blockchain-Analysefirmen.

Verständnis von Smart Contracts

Ein Smart Contract ist ein sich selbst ausführendes Programm auf einer Blockchain, das Transaktionen basierend auf vordefinierten Bedingungen durchführt.

Schätzungen der Verluste und Exploit-Details

Defimons, ein auf Blockchain-Sicherheit spezialisierter Social-Media-Account, der von Decurity betrieben wird, schätzte, dass der Angriff zu Verlusten von etwa 3 Millionen US-Dollar über mehrere Netzwerke hinweg führte. Der Exploit ermöglichte es dem Angreifer, eine betrügerische Cross-Chain-Nachricht an den Smart Contract von CrossCurve zu senden, Sicherheitsprüfungen zu umgehen und die Freigabe von Geldern auszulösen.

Unterdessen berichtete BlockSec, ein weiteres Blockchain-Sicherheitsunternehmen, von Gesamtverlusten in Höhe von etwa 2,76 Millionen US-Dollar. Davon entfielen rund 1,3 Millionen US-Dollar auf Ethereum und 1,28 Millionen US-Dollar auf Arbitrum, mit weiteren Verlusten, die sich auf Netzwerke wie Optimism, Base, Mantle, Kava, Frax, Celo und Blast verteilten.

CrossCurve hat diese Zahlen bisher weder bestätigt noch eine eigene Einschätzung zum Gesamtumfang der betroffenen Gelder vorgelegt.

Decrypt hat CrossCurve für weitere Stellungnahmen kontaktiert.

Ursache und Sicherheitserkenntnisse

BlockSec teilte Decrypt mit, dass der Exploit auf unzureichende Validierung zurückzuführen sei. „Cross-Chain-Nachrichten, die einer Überprüfung bedurften, wurden nicht ordnungsgemäß geprüft, sodass der Contract auf der Ziel-Chain gefälschte Daten als legitim akzeptierte und entsprechend Vermögenswerte freigab“, erklärte BlockSec.

BlockSec merkte weiter an, dass der Vorfall eine bedeutende Schwachstelle der Cross-Chain-Sicherheit verdeutlicht, die häufig auf einem einzelnen Validierungsprozess beruht. „Wenn irgendein alternativer Ausführungspfad diese Prüfung umgehen kann, ist das gesamte Vertrauensmodell kompromittiert“, fügten sie hinzu.

Dan Dadybayo, Research- und Strategieleiter bei Unstoppable Wallet, sagte gegenüber Decrypt, dass das Problem nicht im Kernprotokoll von Axelar lag, sondern vielmehr im benutzerdefinierten ReceiverAxelar-Contract von CrossCurve, der Cross-Chain-Nachrichten ohne ausreichende Authentifizierung verarbeitete.

Dadybayo wies darauf hin, dass ähnliche Schwachstellen bereits zuvor ausgenutzt wurden und verwies auf den Nomad-Bridge-Hack im Jahr 2022.

Er betonte: „Die größte Herausforderung bei der Absicherung von Bridges ist nicht die Nachrichtenebene selbst, sondern sicherzustellen, dass keine Aktion erfolgt, bevor die Authentizität vollständig verifiziert wurde. Benutzerdefinierte Receiver sind oft der schwächste Punkt. Solange Bridges die Liquidität zentralisieren und auf benutzerdefinierte Validierungslogik angewiesen sind, bleiben sie ein Hauptziel im DeFi.“