Уязвимость в коде: Кроссчейн-мост CrossCurve потерял $3 млн в результате атаки

Команда протокола CrossCurve, специализирующегося на обеспечении межсетевой ликвидности, подтвердила факт взлома, произошедшего 1 февраля. Разработчики призвали пользователей временно воздержаться от любых операций с платформой на период проведения внутреннего расследования.

Технические детали инцидента

По данным специалистов из Defimon Alerts, злоумышленникам удалось обнаружить лазейку в смарт-контракте ReceiverAxelar.

• Механика взлома: Хакеры использовали функцию expressExecute для отправки поддельных сообщений между сетями.
• Результат: Это позволило обмануть систему валидации и разблокировать токены в контракте PortalV2 без надлежащего подтверждения.

Согласно аналитическим данным Arkham Intelligence, в результате атаки баланс пула мгновенно сократился с $3 млн практически до нулевых отметок.

Ирония архитектуры безопасности

Проект CrossCurve (ранее известный как EYWA Protocol) создавался при поддержке Curve Finance. Его архитектура Consensus Bridge преподносилась как сверхнадежная, так как риски распределялись между несколькими протоколами (Axelar, LayerZero и собственной сетью оракулов). Команда неоднократно заявляла, что вероятность одновременного сбоя всех уровней защиты практически невозможна, однако уязвимость в конкретном смарт-контракте свела эти преимущества на нет.

Реакция и последствия

Основатель Curve Finance Майкл Егоров, который ранее инвестировал в площадку, и его команда уже отреагировали на инцидент. Разработчики Curve рекомендовали пользователям, делегировавшим голоса в пулы, связанные с EYWA, проявить осторожность и рассмотреть вариант отзыва своих активов.