跨鏈橋 CrossCurve 週一宣佈,該公司遭受了一次重大攻擊,在多個網絡上損失了 300 萬美元。
DeFi 協議指出,其智能合約中的一個漏洞已被利用,引發了人們對跨鏈基礎設施安全性的擔憂。
“我們的橋樑目前正遭受攻擊,”它在 X 上寫道,警告用戶暫停與 CrossCurve 的所有交互。
智能合約漏洞:攻擊者使用欺騙性消息
根據 CrossCurve 的帖子,由於智能合約漏洞,一些用戶地址收到了從其他用戶“錯誤地”獲得的代幣資金。
“我們認為這不是您的故意行為,也沒有任何跡象表明您有惡意。我們希望您能配合歸還資金。”該平臺寫道,並列出了總共10個地址。
據區塊鏈安全賬號Defimon Alerts稱,CrossCurve的智能合約ReceiverAxelar存在漏洞,允許任何人偽造跨鏈消息,繞過網關驗證。這已導致PortalV2合約上的代幣被未經授權解鎖。
此外, Curve Finance還表示,已將投票分配給平臺相關資金池的用戶“可能希望審查他們的持倉並考慮取消這些投票”。
該協議由Curve Finance創始人 Michael Egorov 支持,並在 2023 年從風險投資機構籌集了 700 萬美元。
CrossCurve 提供 10% 的白帽漏洞賞金,並設定 72 小時期限
根據《安全港負責任披露政策》(該政策詳細說明了負責任地報告安全漏洞的步驟),如果白帽黑客協助追回資金,將提供 10% 的賞金。
項目團隊指出:“這意味著如果剩餘部分返還,您最多可以保留 10%。”
此外,CrossCurve 已設定 72 小時期限,要求黑客歸還資金。如果屆時仍無法建立有效溝通,項目團隊將立即採取升級措施。
這包括正式的刑事和民事訴訟,與 Coinbase 和 Binance 等交易所、穩定幣發行商、執法部門和鏈上分析公司(包括 Chainalysis、TRM Labs 和 Elliptic)合作。
CrossCurve 黑客攻擊與Nomad 在 2022 年發起的價值 1.9 億美元的橋接漏洞攻擊類似,據估計,該漏洞導致 8000 個Solana錢包遭到入侵。
Komainu首席信息安全官Andrew Morfill告訴Cryptonews:“就預防而言,一套公認的安全行業標準智能合約模板、智能合約審計以及安全的軟件開發生命週期都是正確的方向。隨著市場的成熟,安全開發並不斷更新且真正實用的協議將為投資者提供他們所尋求的信譽和安全保障。”
