Hôm thứ Hai, CrossCurve, một công ty chuyên về cầu nối chuỗi khối, thông báo rằng họ đã phải hứng chịu một cuộc tấn công lớn, gây thiệt hại 3 triệu đô la trên nhiều mạng lưới.
Giao thức DeFi lưu ý rằng một lỗ hổng trong hợp đồng thông minh của họ đã bị khai thác, làm dấy lên lo ngại về bảo mật đối với cơ sở hạ tầng chuỗi chéo.
"Cầu nối của chúng tôi hiện đang bị tấn công," thông báo trên X viết, cảnh báo người dùng tạm ngừng mọi tương tác với CrossCurve.
Lỗ hổng hợp đồng thông minh: Kẻ tấn công sử dụng tin nhắn giả mạo
Theo bài đăng của CrossCurve, một số địa chỉ người dùng đã nhận được tiền Token do lỗ hổng hợp đồng thông minh gây ra, số tiền này đã bị "lấy một cách bất hợp pháp" từ những người dùng khác.
“Chúng tôi không tin rằng đây là hành động cố ý của bạn, và không có dấu hiệu nào cho thấy ý đồ xấu. Chúng tôi hy vọng bạn sẽ hợp tác trong việc hoàn trả số tiền,” nền tảng này viết, đồng thời nêu rõ tổng cộng 10 địa chỉ.
Theo tài khoản bảo mật blockchain Defimon Alerts, một lỗ hổng trong hợp đồng thông minh ReceiverAxelar của CrossCurve cho phép bất kỳ ai cũng có thể giả mạo tin nhắn xuyên chuỗi, bỏ qua quá trình xác thực cổng. Điều này đã dẫn đến việc mở khóa Token trái phép trên hợp đồng PortalV2.
Ngoài ra, Curve Finance cho biết những người dùng đã phân bổ phiếu bầu cho các nhóm liên quan đến nền tảng “có thể muốn xem xét lại quan điểm của mình và cân nhắc việc rút lại những phiếu bầu đó”.
Giao thức này được hỗ trợ bởi Michael Egorov, người sáng lập Curve Finance , và đã huy động được 7 triệu đô la từ các nhà đầu tư mạo hiểm vào năm 2023.
CrossCurve đưa ra chương trình thưởng 10% cho người dùng mũ trắng, giới hạn 72 giờ.
Theo Chính sách Tiết lộ Có trách nhiệm của Safe Harbor, trong đó nêu chi tiết các bước để thực hiện việc báo cáo có trách nhiệm về các lỗ hổng bảo mật, nếu một hacker mũ trắng hỗ trợ việc thu hồi tiền, họ sẽ được thưởng 10%.
"Điều này giúp bạn đủ điều kiện giữ lại tối đa 10% nếu phần còn lại được hoàn trả," nhóm dự án lưu ý.
Ngoài ra, CrossCurve đã đặt ra thời hạn 72 giờ để tin tặc hoàn trả tiền. Nếu không thiết lập được liên lạc hiệu quả, nhóm dự án sẽ ngay lập tức có biện pháp xử lý nghiêm khắc.
Điều này bao gồm các thủ tục tố tụng hình sự và dân sự chính thức, hợp tác với các sàn giao dịch như Coinbase và Binance, các nhà phát hành stablecoin, các cơ quan thực thi pháp luật và các công ty phân tích dữ liệu on-chain , bao gồm Chainalysis, TRM Labs và Elliptic.
Vụ tấn công CrossCurve tương tự như vụ khai thác cầu nối trị giá 190 triệu đô la của Nomad năm 2022, khiến khoảng 8000 ví Solana bị xâm phạm.
“Về mặt phòng ngừa, việc có một bộ tiêu chuẩn chung cho các mẫu hợp đồng thông minh được biết đến là an toàn, kiểm toán hợp đồng thông minh và vòng đời phát triển phần mềm an toàn sẽ là những bước đi đúng hướng,” Andrew Morfill, Giám đốc An ninh Thông tin tại Komainu, chia sẻ với Cryptonews. “Khi thị trường trưởng thành, các giao thức được phát triển và cập nhật an toàn với tiện ích thực sự sẽ mang lại sự tín nhiệm và đảm bảo an ninh mà các nhà đầu tư đang tìm kiếm.”
