크로스체인 유동성 프로토콜인 크로스커브(CrossCurve)는 최근 자사 스마트 계약의 취약점이 악용되어 브리지 시스템이 심각한 공격을 받고 있다고 공식 발표했습니다. 이로 인해 여러 블록체인 네트워크에서 약 3백만 달러의 손실이 발생한 것으로 추정됩니다. 크로스커브는 일요일에 이 사실을 발표하며, 프로젝트 측에서 문제 조사 및 해결에 착수할 때까지 사용자들에게 프로토콜과의 모든 상호 작용을 즉시 중단할 것을 촉구했습니다.
CrossCurve 팀에 따르면 공격자는 브리지 시스템의 핵심 스마트 계약에서 발견된 취약점을 악용하여 토큰 잠금 해제와 관련된 무단 작업을 수행했습니다. 블록체인 보안 전문가들은 신속하게 조사하여 해당 취약점이 ReceiverAxelar 계약에서 게이트웨이 인증 메커니즘이 우회된 부분에 있음을 밝혀냈습니다. 구체적으로, 누구나 위조된 크로스체인 메시지를 사용하여 expressExecute 함수를 호출할 수 있었고, 이를 통해 초기 보안 검사를 우회하고 CrossCurve의 PortalV2 계약에서 무단 토큰 잠금 해제를 실행할 수 있었습니다.
온체인 데이터에 따르면 PortalV2의 잔액이 1월 말 약 300만 달러에서 거의 0으로 급락했는데, 이는 단일 네트워크가 아닌 여러 블록체인에 영향을 미치는 신속하고 광범위한 공격이 발생했음을 시사합니다. 이러한 결과는 정교한 보안 아키텍처를 갖춘 것으로 알려진 크로스체인 브리지조차도 단 하나의 연결 고리라도 실패할 경우 심각한 취약점이 될 수 있다는 우려를 불러일으킵니다.
이번 사건은 암호화폐 커뮤니티에 2022년 노매드(Nomad) 사태를 떠올리게 했습니다. 당시에도 유사한 브리지 취약점으로 인해 1억 9천만 달러 규모의 해킹 사건이 발생했었죠. 그 당시 수백 개의 지갑 주소가 동시에 출금 시도를 하며 프로토콜을 마비시키는 혼란스러운 상황이 벌어졌습니다. 많은 보안 전문가들은 수년간 수많은 값비싼 교훈을 얻었음에도 불구하고 크로스체인 브리지의 시스템적 취약점이 계속해서 나타나는 것을 우려스럽게 여깁니다. 업계 관계자들은 과거의 공격 패턴이 아직 완전히 해결되지 않은 것 같다며 실망감을 표하기도 합니다.
이전에는 EYWA 프로토콜로 알려졌던 CrossCurve는 Curve Finance와 협력하여 구축된 합의 브리지를 통합한 크로스체인 DEX(탈중앙화 거래소) 프로젝트입니다. CrossCurve의 핵심 특징은 "합의 브리지" 메커니즘에 있으며, 이 메커니즘을 통해 거래는 Axelar, LayerZero, 그리고 EYWA의 자체 오라클 네트워크와 같은 여러 독립적인 검증 계층을 거쳐 처리되므로 단일 장애 지점으로 인한 위험을 최소화합니다. 이번 사건 이전에도 CrossCurve 프로젝트는 여러 크로스체인 프로토콜이 동시에 공격받을 확률이 극히 낮다는 점을 강조하며 이를 주요 경쟁 우위 요소로 내세웠습니다.
