Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

«Верните деньги, или мы идём в полицию». CrossCurve дала похитителям ровно 72 часа на возврат крипты

leer en español

CrossCurve EYWA Ethereum Arbitrum BlockSec Decurity DeFi кроссчейн-взлом
«Верните деньги, или мы идём в полицию». CrossCurve дала похитителям ровно 72 часа на возврат крипты
CrossCurve EYWA Ethereum Arbitrum BlockSec Decurity DeFi кроссчейн-взлом

Похоже, авторы EYWA снова наступили на те же самые грабли.

image

Децентрализованный финансовый протокол CrossCurve, ранее известный под названием EYWA, сообщил о серьёзной уязвимости в смарт-контракте, отвечающем за кроссчейн-переводы. В результате атаки злоумышленник смог перевести активы пользователей на несколько сторонних адресов.

Инцидент произошёл в воскресенье. По словам команды проекта, эксплойт был связан с ошибкой в логике смарт-контракта, которая позволила обойти механизм проверки сообщений между блокчейнами. Через несколько часов после обнаружения атаки генеральный директор CrossCurve Борис Повар уточнил, что удалось выявить десять Ethereum-адресов, на которые были выведены активы.

По словам Повара, средства были изъяты не по вине пользователей, а из-за уязвимости, и у команды нет оснований считать, что действия обладателей указанных адресов были изначально злонамеренными. Однако он подчеркнул, что в случае отсутствия обратной связи или возврата средств в течение 72 часов команда будет расценивать ситуацию как преднамеренную и передаст дело в юридическую плоскость.

В числе возможных мер названы обращение в правоохранительные органы, подача гражданских исков, взаимодействие с криптовалютными биржами для заморозки активов, публикация данных о кошельках и транзакциях, а также сотрудничество с аналитическими блокчейн-компаниями.

Оценки ущерба пока различаются. По данным проекта Defimon Alerts, связанного с компанией Decurity, сумма потерь составляет около $3 млн. Отмечается, что атакующий воспользовался уязвимостью в логике моста и отправил фиктивное сообщение, которое было принято как подлинное. Это привело к разблокировке активов.

Компания BlockSec оценила общие потери в $2,76 млн. Из этой суммы $1,3 млн приходится на сеть Ethereum, $1,28 млн — на Arbitrum. Кроме того, затронуты другие блокчейны, включая Optimism, Base, Mantle, Kava, Frax, Celo и Blast. По мнению специалистов, корень проблемы — отсутствие должной проверки сообщений, что позволило обработать поддельные транзакции.

Аналитики подчёркивают, что безопасность кроссчейн-соединений по-прежнему зависит от одного канала верификации. В случае его обхода вся модель доверия разрушается. Проблема возникла не в основном протоколе Axelar, а на стороне приёма сообщений, где CrossCurve использовал собственную реализацию без достаточной проверки подлинности данных.

Схожий подход уже становился причиной атак — в частности, во взломе протокола Nomad в 2022 году. Аналитики напоминают, что наибольшую угрозу для мостов представляют кастомные компоненты и отсутствие строгой проверки достоверности, особенно при высокой концентрации ликвидности.