Команда кросчейн-протоколу CrossCurve повідомила про атаку на міст, зловмисники експлуатували вразливість у смартконтракті та змогли обійти перевірки шлюзу, після чого розблокували токени. За даними ончейн-аналітиків, баланс пулу обвалився з майже $3 млн практично до нуля.
“Наш міст переживає атаку, пов’язану з експлуатацією вразливості в одному зі смартконтрактів. Будь ласка, не взаємодійте з CrossCurve, поки ми розслідуємо те, що сталося”, – повідомили в проєкті.
Фахівці з кібербезпеки Defimon Alerts встановили, що хакери змогли обійти механізм перевірки шлюзу в одному зі смартконтрактів, ReceiverAxelar.
За їхніми даними, зловмисники викликали функцію expressExecute, надсилаючи підроблені міжланцюгові повідомлення. Це дозволило їм обійти валідацію транзакцій і несанкціоновано розблокувати токени у смартконтракті PortalV2.
Згідно з даними Arkham Intelligence, після атаки баланс пулу різко впав з близько $3 млн майже до нуля. Фактично це означає, що активи були виведені або розблоковані без дозволу, а ліквідність пулу практично зникла.
Що відомо про CrossCurve і його зв’язок із Curve Fin
CrossCurve (раніше EYWA Protocol) – це кросчейн-DEX і міст, який розроблявся спільно з Curve Finance. В основі проєкту лежить архітектура Consensus Bridge , механізм, який розподіляє ризики перевірки транзакцій між кількома незалежними рішеннями:
- Axelar
- LayerZero
- власна мережа оракулів EYWA
Проєкт неодноразово підкреслював, що така модель, його ключова перевага. Зокрема, CrossCurve заявляв, що “ймовірність одночасного зламу кількох кросчейн-протоколів близька до нуля”.
Команда Curve Finance прокоментувала інцидент і також попередила користувачів про ризики.
“Тим, хто делегував голоси в пов’язані з EYWA пули, варто оцінити свої позиції та розглянути можливість відкликання голосів”, – заявили розробники.
