크로스체인 브리지 서비스인 크로스커브(CrossCurve)는 월요일에 여러 네트워크에 걸쳐 3백만 달러 상당의 대규모 공격을 받았다고 발표했습니다.
해당 DeFi 프로토콜은 스마트 계약 의 취약점이 악용되었다고 밝히며, 크로스체인 인프라의 보안 우려를 제기했습니다.
X 플랫폼에 올라온 메시지에는 "저희 브리지가 현재 공격을 받고 있습니다."라고 적혀 있었고, 사용자들에게 CrossCurve와의 모든 상호 작용을 중단하라고 경고했습니다.
스마트 계약 취약점: 공격자들이 메시지 위조를 사용했습니다
CrossCurve의 게시물에 따르면, 일부 사용자 주소는 스마트 계약 취약점으로 인해 다른 사용자로부터 "부당하게" 탈취된 토큰 자금을 받았습니다.
"귀하께서 고의로 그러신 것으로는 보이지 않으며, 악의적인 의도가 있었다는 징후도 없습니다. 자금 반환에 협조해 주시기를 바랍니다."라고 플랫폼 측은 총 10개의 주소를 명시하며 답변했습니다.
블록체인 보안 계정인 데피몬 알러츠(Defimon Alerts)에 따르면, 크로스커브(CrossCurve)의 스마트 계약인 리시버액셀라(ReceiverAxelar)가 취약하여 누구나 크로스체인 메시지를 위조하고 게이트웨이 유효성 검사를 우회할 수 있었습니다. 이로 인해 포털V2(PortalV2) 계약에서 무단 토큰 잠금 해제가 발생했습니다.
또한 커브 파이낸스(Curve Finance) 플랫폼 관련 풀에 투표권을 할당한 사용자는 "자신의 입장을 검토하고 해당 투표권을 철회하는 것을 고려해 볼 수 있다"고 밝혔습니다.
이 프로토콜은 커브 파이낸스(Curve Finance) 창립자인 마이클 에고로프의 지원을 받으며 2023년에 벤처 캐피털로부터 700만 달러를 투자받았습니다.
CrossCurve, 화이트햇 해커 10% 현상금 지급 (72시간 한정)
보안 취약점의 책임 있는 보고를 이행하기 위한 절차를 상세히 설명하는 세이프 하버 책임 있는 공개 정책에 따라, 화이트햇 해커가 자금 복구를 지원하는 경우 10%의 보상금이 지급됩니다.
"나머지를 반환할 경우 최대 10%까지 유지할 수 있는 자격이 주어집니다."라고 프로젝트 팀은 언급했습니다.
또한, CrossCurve는 해커가 자금을 반환할 수 있도록 72시간의 기한을 설정했습니다. 효과적인 소통이 이루어지지 않을 경우, 프로젝트 팀은 즉시 상위 부서로 보고할 것입니다.
여기에는 공식적인 형사 및 민사 소송 절차, 코인베이스 및 바이낸스와 같은 거래소, 스테이블코인 발행사, 법 집행 기관, 그리고 체이나리시스, TRM 랩스, 엘립틱을 포함한 온체인 분석 회사와의 협력이 포함됩니다.
CrossCurve 해킹은 2022년 Nomad의 1억 9천만 달러 규모 브리지 공격 과 유사하며, 당시 약 8,000개의 솔라나(Solana) 지갑이 해킹당한 것으로 추정됩니다.
코마이누의 최고 정보 보안 책임자(CISO)인 앤드류 모필은 크립토뉴스(Cryptonews) 와의 인터뷰에서 “예방 차원에서, 안전하다고 알려진 업계 표준 스마트 계약 템플릿, 스마트 계약 감사, 그리고 안전한 소프트웨어 개발 수명주기가 올바른 방향으로 나아가는 단계가 될 것”이라고 말했다. “시장이 성숙해짐에 따라, 실질적인 유용성을 갖춘 안전하게 개발되고 업데이트된 프로토콜이 투자자들이 원하는 신뢰성과 보안 보증을 제공할 것입니다.”
