ChainCatcher는 The Block의 보도를 인용하여 크로스체인 유동성 프로토콜인 CrossCurve(이전 EYWA)가 자사의 스마트 계약 취약점이 악용되어 크로스체인 브리지 프로토콜이 "공격을 받고 있다"고 확인했다고 전했습니다. 이로 인해 여러 네트워크에서 약 3백만 달러 상당의 자금이 도난당했습니다. 블록체인 보안 회사 Defimon Alerts는 이번 공격이 CrossCurve의 ReceiverAxelar 계약에서 게이트웨이 검증 우회 취약점을 악용한 것임을 발견했습니다.
분석 결과, 누구나 위조된 크로스체인 메시지를 사용하여 계약의 expressExecute 함수를 호출할 수 있으며, 이를 통해 예상되는 게이트웨이 검증을 우회하고 PortalV2 프로토콜 계약에서 무단 토큰 언락 유발할 수 있는 것으로 나타났습니다. 이 프로토콜은 Curve Finance 설립자인 마이클 에고로프의 지원을 받고 있으며 이전에 700만 달러를 융자 바 있습니다.
