Nagbabala ang CrossCurve ng Posibleng Kaso Matapos ang $3 Milyong Cross-Chain Bridge Hack

Tinutukoy ng CrossCurve ang mga Ethereum Address na Kaugnay ng Kamakailang Exploit

Inanunsyo ng CrossCurve, na dating kilala bilang EYWA, na natunton na nito ang sampung Ethereum wallet address na may kaugnayan sa isang kamakailang paglabag sa mekanismo ng paglilipat ng token nito.

Noong Linggo, ipinahayag ng koponan ng CrossCurve na isang kahinaan sa isa sa kanilang smart contract, na nagpapadali ng paglilipat ng token sa pagitan ng mga blockchain, ay na-exploit ng isang umaatake.

Sa parehong araw, inihayag ni CEO Boris Povar na natukoy na ng koponan ang sampung Ethereum address na tumanggap ng mga ninakaw na asset.

“Ang mga token na ito ay kinuha mula sa mga user bilang resulta ng kahinaan sa smart contract,” paliwanag ni Povar. “Hindi namin pinaniniwalaan na ito ay sinadyang ginawa ng mga nakatanggap, at wala pang ebidensya ng masamang intensyon sa ngayon.”

Binalaan ni Povar na kung ang mga pondo ay hindi maibabalik o kung walang komunikasyon na maitatag sa loob ng 72 oras, ituturing ng koponan na masama ang ginawa at magsasagawa ng legal na aksyon.

Kung hindi man mabawi ang mga asset, plano ng CrossCurve na agad na itaas ang antas ng sitwasyon. Kabilang dito ang pagrerefer ng kaso sa mga awtoridad kriminal, pagsisimula ng mga kasong sibil, pakikipagtulungan sa mga palitan at token issuer upang i-freeze ang mga asset, pampublikong pagbabahagi ng mga detalye ng wallet at transaksyon, at pagtutulungan sa mga ahensya ng batas at mga kumpanya ng blockchain analysis.

Pag-unawa sa Smart Contracts

Ang smart contract ay isang self-executing na programa sa blockchain na nagsasagawa ng mga transaksyon batay sa mga itinakdang kondisyon.

Pagtatantiya ng Pagkalugi at mga Detalye ng Exploit

Ang Defimons, isang social account na nakatuon sa seguridad ng blockchain na pinamamahalaan ng Decurity, ay tinatayang nagdulot ang breach ng tinatayang $3 milyon na pagkalugi sa iba't ibang network. Pinayagan ng exploit ang umaatake na magpadala ng pekeng cross-chain message sa smart contract ng CrossCurve, nalampasan ang mga security check at nag-trigger ng pagpapalabas ng mga pondo.

Samantala, iniulat ng BlockSec, isa pang kumpanya ng seguridad sa blockchain, na umabot sa humigit-kumulang $2.76 milyon ang kabuuang pagkalugi. Kasama dito ang tinatayang $1.3 milyon sa Ethereum at $1.28 milyon sa Arbitrum, na may karagdagang pagkalugi na nakakalat sa mga network tulad ng Optimism, Base, Mantle, Kava, Frax, Celo, at Blast.

Hindi pa kinukumpirma ng CrossCurve ang mga numerong ito o nagbibigay ng sariling pagtatasa ng kabuuang apektadong pondo.

Ang Decrypt ay nakipag-ugnayan sa CrossCurve para sa karagdagang komento.

Ugat ng Sanhi at Mga Pananaw sa Seguridad

Ipinahayag ng BlockSec sa Decrypt na ang exploit ay dahil sa hindi sapat na pag-validate. “Ang mga cross-chain message na nangangailangan ng beripikasyon ay hindi maayos na nasuri, kaya tinanggap ng kontrata sa destinasyon na chain ang peke na data bilang lehitimo at nagpalabas ng asset nang naaayon,” paliwanag ng BlockSec.

Dagdag ng BlockSec na ipinapakita ng insidente ang isang malaking kahinaan sa seguridad ng cross-chain, na kadalasan ay umaasa sa isang validation process lamang. “Kung may anumang alternatibong execution path na makakalampas sa check na ito, ang buong framework ng pagtitiwala ay nasisira,” dagdag nila.

Ipinahayag ni Dan Dadybayo, research at strategy lead sa Unstoppable Wallet, sa Decrypt na ang isyu ay hindi sa core protocol ng Axelar, kundi sa custom ReceiverAxelar contract ng CrossCurve, na nagpoproseso ng cross-chain message nang walang sapat na authentication.

Itinuro ni Dadybayo na ang mga katulad na kahinaan ay na-exploit na noon, na tinutukoy ang Nomad bridge hack noong 2022.

Binigyang-diin niya, “Ang pangunahing hamon sa seguridad ng bridge ay hindi ang mismong messaging layer, kundi ang pagtiyak na walang aksyon na gagawin hangga't hindi ganap na nabeberipika ang pagiging tunay. Ang mga custom receiver ang kadalasang pinakamahinang punto. Hangga't ang mga bridge ay nagsesentralisa ng liquidity at umaasa sa custom validation logic, mananatili silang pangunahing target sa DeFi.”