跨链桥 CrossCurve 周一宣布,该公司遭受了一次重大攻击,在多个网络上损失了 300 万美元。
DeFi 协议指出,其智能合约中的一个漏洞已被利用,引发了人们对跨链基础设施安全性的担忧。
“我们的桥梁目前正遭受攻击,”它在 X 上写道,警告用户暂停与 CrossCurve 的所有交互。
智能合约漏洞:攻击者使用欺骗性消息
根据 CrossCurve 的帖子,由于智能合约漏洞,一些用户地址收到了从其他用户“错误地”获得的代币资金。
“我们认为这不是您的故意行为,也没有任何迹象表明您有恶意。我们希望您能配合归还资金。”该平台写道,并列出了总共10个地址。
据区块链安全账号Defimon Alerts称,CrossCurve的智能合约ReceiverAxelar存在漏洞,允许任何人伪造跨链消息,绕过网关验证。这已导致PortalV2合约上的代币被未经授权解锁。
此外, Curve Finance还表示,已将投票分配给平台相关资金池的用户“可能希望审查他们的持仓并考虑取消这些投票”。
该协议由Curve Finance创始人 Michael Egorov 支持,并在 2023 年从风险投资机构筹集了 700 万美元。
CrossCurve 提供 10% 的白帽漏洞赏金,并设定 72 小时期限
根据《安全港负责任披露政策》(该政策详细说明了负责任地报告安全漏洞的步骤),如果白帽黑客协助追回资金,将提供 10% 的赏金。
项目团队指出:“这意味着如果剩余部分返还,您最多可以保留 10%。”
此外,CrossCurve 已设定 72 小时期限,要求黑客归还资金。如果届时仍无法建立有效沟通,项目团队将立即采取升级措施。
这包括正式的刑事和民事诉讼,与 Coinbase 和 Binance 等交易所、稳定币发行商、执法部门和链上分析公司(包括 Chainalysis、TRM Labs 和 Elliptic)合作。
CrossCurve 黑客攻击与Nomad 在 2022 年发起的价值 1.9 亿美元的桥接漏洞攻击类似,据估计,该漏洞导致 8000 个Solana钱包遭到入侵。
Komainu首席信息安全官Andrew Morfill告诉Cryptonews:“就预防而言,一套公认的安全行业标准智能合约模板、智能合约审计以及安全的软件开发生命周期都是正确的方向。随着市场的成熟,安全开发并不断更新且真正实用的协议将为投资者提供他们所寻求的信誉和安全保障。”
