Крипто мост CrossCurve призвал пользователей временно прекратить взаимодействие с протоколом в связи с расследованием взлома смарт-контракта.
Актуализация (2 февраля, 00:20 UTC): в статью добавлено сообщение главы CrossCurve Бориса Повара.
Протокол CrossCurve сообщил о взломе своего кросс-чейн моста, в результате чего по нескольким сетям было похищено около $3 млн.
В воскресенье поздно вечером CrossCurve опубликовал в сети X заявление о том, что мост подвергся «атаке с использованием уязвимости в одном из смарт-контрактов».
В компании добавили: «Пожалуйста, приостановите все взаимодействия с CrossCurve, пока идет расследование».
Аккаунт Defimon Alerts, связанный с блокчейн-компанией Decurity в X, сообщил о взломе CrossCurve с ущербом примерно в $3 млн на нескольких сетях.
По их информации, один из смарт-контрактов CrossCurve позволял любому лицу подделать сообщение для обхода валидации и разблокировки токенов.
Defimon Alerts пояснил: «Любой мог вызвать функцию expressExecute на контракте ReceiverAxelar с поддельным кросс-чейн сообщением, обойти валидацию шлюза и инициировать разблокировку в PortalV2».
Curve Finance, партнер CrossCurve, на X рекомендовал пользователям, инвестировавшим в пулы CrossCurve, пересмотреть свои позиции и рассмотреть возможность удаления голосов.
«Мы продолжаем призывать всех участников проявлять бдительность и принимать решения с учетом рисков при работе с проектами третьих сторон», – добавили в Curve Finance.
Глава CrossCurve Борис Повар опубликовал 10 адресов, получивших токены после взлома, и предложил вознаграждение за их возврат в течение 72 часов.
Он отметил: «Эти токены были неправомерно изъяты у пользователей из-за эксплуатации смарт-контракта. Мы не считаем, что это было сделано умышленно, и нет признаков злого умысла. Надеемся на ваше сотрудничество в возврате средств».
Повар предложил вознаграждение до 10% в случае возврата средств в течение трех суток после атаки.
«Если средства не будут возвращены или не будет установлен контакт в течение 72 часов, мы будем рассматривать это как злонамеренное действие и будем обращаться в судебные органы», – предупредил руководитель CrossCurve.
Он также сообщил, что протокол готов сотрудничать с правоохранительными органами, подавать гражданские иски для возмещения ущерба, а также координироваться с властями и другими криптопроектами для заморозки активов, если средства не будут возвращены.
Механизм атаки на смарт-контракт и последствия
Атака была связана с уязвимостью в контракте ReceiverAxelar, позволяющей обходить проверку сообщений и неправомерно разблокировать токены в PortalV2. Эта уязвимость была причиной хищения $3 млн на нескольких блокчейн-сетях.
Реакция партнеров и меры безопасности
Curve Finance, партнер CrossCurve, рекомендовал пользователям, участвующим в пулах CrossCurve, проверить свои позиции и убрать голосование. Подчеркивается необходимость проявлять осторожность при работе с внешними проектами.
Действия CrossCurve и предложение вознаграждения
Глава CrossCurve Борис Повар опубликовал адреса получателей украденных токенов и предложил до 10% вознаграждения за возврат в течение 72 часов. В случае отсутствия сотрудничества предполагается судебное разбирательство и взаимодействие с правоохранителями.
Ситуация с CrossCurve демонстрирует важность своевременного реагирования на уязвимости в смарт-контрактах. Предложение вознаграждения за возврат средств отражает практику минимизации ущерба, но вопросы безопасности кросс-чейн мостов остаются актуальными. Мы продолжим следить за развитием ситуации и мерами, предпринимаемыми командой.
