CrossCurve droht rechtliche Schritte an, nachdem die Schwachstelle im Cross-Chain-Brücke-Exploit mit der ID $3M ausgenutzt wurde.

Kurzfassung

• CrossCurve gab am Sonntag bekannt, dass ein Angreifer eine Schwachstelle in seinen Brückenkontrakten ausgenutzt hat und 10 Ethereum-Adressen identifiziert wurden, die die Gelder erhalten haben.
• Sein CEO, Boris Povar, sagte, dass das Team rechtliche und Durchsetzungsmaßnahmen ergreifen werde, falls die Gelder nicht innerhalb von 72 Stunden zurückgegeben werden.
• Sicherheitsfirmen schätzen die Verluste auf etwa 3 Millionen US-Dollar über mehrere Blockchains hinweg, obwohl CrossCurve diese Zahl noch nicht bestätigt hat.

Das dezentralisierte Finanzprotokoll CrossCurve, früher bekannt als EYWA, gibt an, öffentlich zehn Ethereum-Adressen identifiziert zu haben, die mit einem Hack seines Token-Transfer-Systems am Sonntag in Verbindung stehen.
CrossCurve gab am Sonntagnachmittag bekannt, dass ein Angreifer eine Schwachstelle ausgenutzt hat, „bei der die Ausnutzung einer Sicherheitslücke in einem der Smart Contracts“ verwendet wurde, die für seine Cross-Chain-Brücke genutzt werden, ein System, das es Nutzern ermöglicht, Tokens zwischen verschiedenen Blockchains zu bewegen.
Stunden später sagte CrossCurve-CEO Boris Povar, dass das Team zehn Ethereum-Adressen identifiziert habe, die die fraglichen Gelder erhalten haben.
„Diese Tokens wurden unrechtmäßig von Nutzern entwendet, aufgrund eines Exploits im Smart Contract“, sagte Povar. „Wir glauben nicht, dass dies absichtlich von Ihrer Seite geschah, und es gibt keine Hinweise auf böswillige Absichten.“


Povar warnte, dass wenn die Gelder nicht zurückgegeben werden oder innerhalb von 72 Stunden kein Kontakt hergestellt wird, ihr Team „böswillige Absichten annehmen und die Angelegenheit als gerichtliche Frage behandeln“ werde.
Das Nichtzurückzahlen der Gelder würde eine sofortige Eskalation auslösen, einschließlich strafrechtlicher Hinweise, zivilrechtlicher Klagen, Koordination mit Börsen und Emittenten zur Sperrung der Vermögenswerte, öffentliche Offenlegung von Wallet- und Transaktionsdaten sowie Zusammenarbeit mit Strafverfolgungsbehörden und Blockchain-Analysefimen, fügte Povar hinzu.
Ein Smart Contract ist ein Programm, das auf einer Blockchain läuft und Transaktionen automatisch gemäß vordefinierten Regeln ausführt.

Defimon Alerts, ein Social-Account, der von der Blockchain-Sicherheitsfirma Decurity betrieben wird, schätzte initial, dass der Exploit Verluste von rund 3 Millionen US-Dollar auf „mehreren Netzwerken“ verursacht hat, und fügte hinzu, dass die Schwachstelle einem Angreifer ermöglichte, eine gefälschte Cross-Chain-Nachricht im Smart Contract von CrossCurve zu senden, die Prüfungen umging und die Brücke dazu veranlasste, Gelder freizugeben.
Die Blockchain-Sicherheitsfirma BlockSec schätzte die Gesamtschäden auf etwa 2,76 Millionen US-Dollar, darunter ungefähr 1,3 Millionen US-Dollar auf Ethereum und etwa 1,28 Millionen US-Dollar auf Arbitrum sowie mehrere Chains, darunter Optimism, Base, Mantle, Kava, Frax, Celo und Blast.
CrossCurve hat die Verlustschätzung der Sicherheitsfirmen öffentlich nicht bestätigt und hat keine eigene Zahl für die betroffenen Gelder veröffentlicht. Decrypt hat sich an CrossCurve gewandt, um einen Kommentar zu erhalten.
Der Exploit resultierte aus einem „Mangel an Validierung“, sagte das Team von BlockSec gegenüber Decrypt.
„Die Cross-Chain-Nachrichten, die validiert werden sollten, wurden nicht überprüft, was dazu führte, dass der Ziel-Chain-Vertrag glaubte, die Nachricht spiegelte eine echte Transaktion wider, die auf der Quell-Chain initiiert wurde, und gab die entsprechenden Vermögenswerte basierend auf vom Angreifer gefälschtem Payload-Daten frei“, sagte BlockSec.
Der Vorfall zeigt, dass „die Cross-Chain-Sicherheit immer noch zu stark auf einen einzigen Validierungsweg angewiesen ist“, fügte BlockSec hinzu. „Wenn irgendein alternativer Ausführungspfad diese Prüfung umgeht, kollabiert das gesamte Vertrauensmodell.“
„Dieser Exploit war kein Fehler im Kernprotokoll von Axelar; es war ein Fehler auf der Empfängerseite“, sagte Dan Dadybayo, Forschungs- und Strategieleiter bei Unstoppable Wallet, gegenüber Decrypt. „Der benutzerdefinierte ReceiverAxelar-Vertrag von CrossCurve führte Cross-Chain-Nachrichten aus, ohne sie vorher ausreichend zu authentifizieren.“
Dadybayo sagte, dieses Muster sei bereits bei Fällen wie dem Nomad-Hack 2022 beobachtet worden.

„Der schwierige Teil der Brückensicherheit ist nicht die Messaging-Schicht, sondern sicherzustellen, dass nichts passiert, bevor die Echtheit vollständig bewiesen ist“, fügte er hinzu. „Benutzerdefinierte Empfänger bleiben die schwächste Stelle. Solange Brücken Liquidität konzentrieren und auf maßgeschneiderte Validierungslogik setzen, werden sie weiterhin die höchste Risikooberfläche im DeFi darstellen.“