Криптопротокол CrossCurve подвергся атаке, сообщается о хищении $3 млн

Криптомост-протокол CrossCurve только что потерпел крах — эксплойт смарт-контракта вывел около $3 млн на нескольких блокчейнах. Они призывают всех ПРЕКРАТИТЬ взаимодействие с их протоколом, пока они расследуют этот беспорядок.

CrossCurve обрушил бомбу в X поздно вечером в воскресенье: их мост "подвергся атаке, связанной с эксплуатацией уязвимости в одном из используемых смарт-контрактов". Перевод: кто-то нашел лазейку и ушел с добычей.

Специалисты по безопасности блокчейна Defimon Alerts разобрали ситуацию: эксплойт составил около $3 млн "на нескольких сетях". Уязвимость? Смарт-контракт, который позволял любому подделывать межсетевые сообщения, чтобы обойти проверку и разблокировать токены, как будто это открытый сейф.

Технический разбор Defimon: "Любой мог вызвать expressExecute в контракте ReceiverAxelar с поддельным межсетевым сообщением, обходя проверку шлюза и запуская разблокировку в PortalV2". Классический обход валидации — разработчикам придется отлаживать это неделями.

Curve Finance — которая сотрудничала с CrossCurve — сообщает пользователям, выделившим средства в пулы CrossCurve, "пересмотреть свои позиции и рассмотреть возможность отзыва этих голосов". Они напоминают всем "оставаться бдительными и принимать осознанные риски при взаимодействии со сторонними проектами". По сути: проведите собственное исследование, прежде чем вкладываться.

Это развивающаяся история — мы обновим по мере поступления новых деталей. Будьте начеку.