Giao thức thanh khoản cross-chain CrossCurve mới đây đã chính thức xác nhận hệ thống bridge của dự án đang bị tấn công nghiêm trọng, sau khi một lỗ hổng trong smart contract bị khai thác, gây thiệt hại ước tính khoảng 3 triệu USD trên nhiều mạng blockchain khác nhau. Thông tin này được CrossCurve công bố vào Chủ nhật, đồng thời kêu gọi người dùng ngay lập tức tạm dừng mọi tương tác với giao thức trong thời gian dự án tiến hành điều tra và khắc phục sự cố.
Theo chia sẻ từ đội ngũ CrossCurve, kẻ tấn công đã lợi dụng một điểm yếu trong một smart contract cốt lõi của hệ thống bridge, cho phép thực hiện các thao tác trái phép liên quan đến việc mở khóa token. Các chuyên gia bảo mật blockchain nhanh chóng vào cuộc và chỉ ra rằng lỗ hổng nằm ở hợp đồng ReceiverAxelar, nơi cơ chế xác thực gateway đã bị vượt qua. Cụ thể, bất kỳ ai cũng có thể gọi hàm expressExecute với một thông điệp cross-chain giả mạo, từ đó bỏ qua lớp kiểm tra bảo mật ban đầu và kích hoạt việc mở khóa token trái phép trên hợp đồng PortalV2 của CrossCurve.
Dữ liệu on-chain cho thấy số dư của PortalV2 đã giảm mạnh từ khoảng 3 triệu USD xuống gần như bằng 0 vào cuối tháng 1, cho thấy cuộc tấn công diễn ra nhanh và trên diện rộng, ảnh hưởng đến nhiều blockchain khác nhau chứ không chỉ giới hạn ở một mạng đơn lẻ. Điều này làm dấy lên lo ngại rằng các bridge cross-chain, dù được quảng bá là có kiến trúc bảo mật phức tạp, vẫn có thể trở thành điểm yếu chí mạng nếu chỉ một mắt xích gặp vấn đề.
Vụ việc lần này khiến cộng đồng crypto không khỏi liên tưởng đến sự cố Nomad năm 2022, khi một lỗi tương tự trong bridge đã dẫn đến vụ khai thác lên tới 190 triệu USD. Khi đó, hàng trăm địa chỉ ví đã cùng lúc “xâu xé” giao thức trong một làn sóng rút tiền hỗn loạn. Nhiều chuyên gia bảo mật cho rằng đáng lo ngại là sau nhiều năm và hàng loạt bài học đắt giá, các lỗ hổng mang tính hệ thống trong bridge cross-chain vẫn tiếp tục xuất hiện. Một số ý kiến trong ngành thậm chí bày tỏ sự thất vọng khi các mô hình tấn công cũ dường như chưa được giải quyết triệt để.
CrossCurve, trước đây được biết đến với tên gọi EYWA Protocol, là một dự án vận hành sàn DEX cross-chain kết hợp bridge đồng thuận, được xây dựng với sự hợp tác của Curve Finance. Điểm nhấn của CrossCurve nằm ở cơ chế “Consensus Bridge”, trong đó giao dịch được định tuyến qua nhiều lớp xác thực độc lập như Axelar, LayerZero và mạng oracle nội bộ của EYWA, nhằm giảm thiểu rủi ro từ một điểm lỗi duy nhất. Trước khi sự cố xảy ra, dự án từng nhấn mạnh rằng xác suất nhiều giao thức cross-chain cùng lúc bị tấn công là cực kỳ thấp, và đây được xem là lợi thế cạnh tranh lớn của họ.
