block-chain24.com
Межсетевой протокол ликвидности CrossCurve подтвердил: его инфраструктура моста подвергается активной атаке. Уязвимость в смарт‑контрактах позволила злоумышленникам вывести около $3 млн в нескольких сетях. Об этом проект сообщил в воскресенье.
«Наш мост в настоящее время подвергается атаке, которая связана с использованием уязвимости в одном из смарт‑контрактов, — заявил CrossCurve в X. — Пожалуйста, приостановите все взаимодействия с CrossCurve, пока идет расследование».
Аккаунт по безопасности блокчейна Defimon Alerts определил вектор атаки: обход проверки шлюза в контракте ReceiverAxelar проекта CrossCurve. Согласно анализу, любой мог вызвать функцию expressExecute в контракте с поддельной кросс‑чейн‑сообщением. Это позволяло обойти предусмотренную проверку шлюза и запустить несанкционированную разблокировку токенов в контракте PortalV2 протокола.
Уязвимость напоминает инцидент с мостом Nomad в 2022 году, когда злоумышленники вывели $190 млн. Тогда более 300 адресов кошельков попытались опустошить средства протокола.
«Не могу поверить, что за четыре года ничего не изменилось», — прокомментировал эксперт по безопасности Тейлор Монахан.
Данные Arkham Intelligence, опубликованные Defimon Alerts, показывают: баланс контракта PortalV2 упал примерно с $3 млн до почти нуля около 31 января. Атака затронула несколько сетей.
CrossCurve, ранее известный как EYWA Protocol, управляет кросс‑чейн‑DEX и мостом консенсуса, созданным в партнерстве с Curve Finance (CRV). Протокол использует механизм «Consensus Bridge»: он направляет транзакции через несколько независимых протоколов проверки, включая Axelar (AXL), LayerZero (ZRO) и собственную сеть EYWA Oracle Network. Это позволяет снизить количество единых точек отказа.
Проект ранее подчеркивал, что архитектура безопасности — его ключевое отличие. В документации указано: «вероятность того, что несколько кросс‑чейн‑протоколов будут взломаны одновременно, близка к нулю». Основатель Curve Finance Майкл Егоров стал инвестором протокола в сентябре 2 Newton 2023 года. Позже проект сообщил, что привлек $7 млн от венчурных инвесторов.
«Пользователи, которые распределили голоса на пулы, связанные с Eywa, возможно, захотят пересмотреть свои позиции и рассмотреть возможность отозвать эти голоса», — написал Curve Finance в X.
Там также призвали всех участников сохранять бдительность и принимать решения с учетом рисков при взаимодействии с сторонними проектами.