CrossCurve avverte di una possibile causa legale dopo l’hack da 3 milioni di dollari sul bridge cross-chain

CrossCurve identifica indirizzi Ethereum collegati al recente exploit

CrossCurve, precedentemente conosciuta come EYWA, ha annunciato di aver rintracciato dieci indirizzi wallet Ethereum associati a una recente violazione del suo meccanismo di trasferimento di token.

Domenica, il team di CrossCurve ha rivelato che una vulnerabilità in uno dei suoi smart contract, che facilita il movimento di token tra blockchain, è stata sfruttata da un attaccante.

Più tardi lo stesso giorno, il CEO Boris Povar ha annunciato che il team aveva individuato dieci indirizzi Ethereum che avevano ricevuto gli asset rubati.

“Questi token sono stati sottratti agli utenti a causa di una vulnerabilità di uno smart contract,” ha spiegato Povar. “Non crediamo che ciò sia stato fatto intenzionalmente dai destinatari, e al momento non ci sono prove di intenti malevoli.”

Povar ha avvertito che, se i fondi non verranno restituiti o se non verrà stabilita una comunicazione entro 72 ore, il team considererà l’atto come malevolo e intraprenderà azioni legali.

Nel caso in cui gli asset non vengano recuperati, CrossCurve prevede di intensificare immediatamente la situazione. Questo include segnalare il caso alle autorità penali, avviare procedimenti civili, collaborare con exchange ed emittenti di token per congelare gli asset, condividere pubblicamente i dettagli dei wallet e delle transazioni, e collaborare con le forze dell’ordine e società di analisi blockchain.

Comprendere gli Smart Contract

Uno smart contract è un programma auto-eseguente su una blockchain che esegue transazioni basate su condizioni predefinite.

Stime delle perdite e dettagli dell’exploit

Defimons, un account social focalizzato sulla sicurezza blockchain gestito da Decurity, ha stimato che la violazione abbia causato perdite per circa 3 milioni di dollari su diverse reti. L’exploit ha permesso all’attaccante di inviare un messaggio cross-chain fraudolento allo smart contract di CrossCurve, bypassando i controlli di sicurezza e innescando il rilascio dei fondi.

Nel frattempo, BlockSec, un’altra azienda di sicurezza blockchain, ha riportato perdite totali per circa 2,76 milioni di dollari. Questo include circa 1,3 milioni su Ethereum e 1,28 milioni su Arbitrum, con ulteriori perdite distribuite su reti come Optimism, Base, Mantle, Kava, Frax, Celo e Blast.

CrossCurve non ha ancora confermato queste cifre né fornito una propria valutazione sull’ammontare totale dei fondi coinvolti.

Decrypt ha contattato CrossCurve per ulteriori commenti.

Causa principale e approfondimenti sulla sicurezza

BlockSec ha dichiarato a Decrypt che l’exploit è stato causato da una validazione insufficiente. “I messaggi cross-chain che richiedevano verifica non sono stati controllati in modo adeguato, portando il contratto sulla chain di destinazione ad accettare dati falsificati come legittimi e a rilasciare gli asset di conseguenza,” ha spiegato BlockSec.

BlockSec ha inoltre osservato che l’incidente evidenzia una significativa debolezza nella sicurezza cross-chain, che spesso si basa su un unico processo di validazione. “Se qualsiasi percorso di esecuzione alternativo può bypassare questo controllo, l’intero framework di fiducia viene compromesso,” hanno aggiunto.

Dan Dadybayo, responsabile ricerca e strategia presso Unstoppable Wallet, ha dichiarato a Decrypt che il problema non era nel protocollo core di Axelar, ma piuttosto nel contratto personalizzato ReceiverAxelar di CrossCurve, che elaborava messaggi cross-chain senza un’adeguata autenticazione.

Dadybayo ha sottolineato che vulnerabilità simili sono già state sfruttate in passato, facendo riferimento all’attacco al bridge Nomad nel 2022.

Ha enfatizzato: “La principale sfida nella sicurezza dei bridge non è il layer di messaggistica stesso, ma assicurarsi che nessuna azione venga eseguita finché l’autenticità non è completamente verificata. I receiver personalizzati sono spesso il punto più debole. Finché i bridge centralizzeranno la liquidità e dipenderanno da logiche di validazione personalizzate, rimarranno un obiettivo primario nella DeFi.”