Cross-chain liquidity protocol CrossCurve a confirmé dimanche avoir été victime d’une attaque, une vulnérabilité dans la vérification du contrat intelligent ayant entraîné une perte multi-chaînes d’environ 3 000 000 de dollars. L’attaquant a contourné la vérification du contrat ReceiverAxelar en falsifiant des messages, une méthode similaire à celle de l’incident Nomad en 2022. Le projet avait été financé par le fondateur de Curve Finance et avait levé 7 000 000 de dollars.
CrossCurve confirme en urgence une attaque sur le réseau de pontage
CrossCurve a publié un communiqué d’urgence sur la plateforme X : « Notre réseau de pontage est actuellement attaqué. L’attaquant a exploité une vulnérabilité dans un contrat intelligent. Pendant l’enquête, veuillez suspendre toute interaction avec CrossCurve. » Cette brève déclaration a confirmé les inquiétudes de la communauté, sans fournir de détails sur l’attaque ni de données officielles sur l’ampleur des pertes.
Selon les données de suivi d’Arkham Intelligence, le solde du contrat PortalV2 de CrossCurve est passé d’environ 3 000 000 de dollars le 31 janvier à presque zéro. Cette déplétion totale indique que l’attaquant a réussi à contourner tous les mécanismes de sécurité, transférant presque tous les actifs du contrat. Plus inquiétant encore, l’impact de la vulnérabilité ne se limite pas à une seule blockchain, mais s’étend à plusieurs réseaux supportés par CrossCurve, ce qui montre une défaillance systémique de sécurité.
CrossCurve se positionne comme une plateforme décentralisée d’échange inter-chaînes (DEX) et un protocole de ponts de consensus, construit en partenariat avec Curve Finance. La plateforme utilise un mécanisme dit de « pont de consensus », routant les transactions via plusieurs protocoles de validation indépendants tels qu’Axelar, LayerZero et son propre réseau de oracles EYWA, afin de réduire le risque de point unique de défaillance. Cependant, cette attaque a prouvé que même avec une architecture multi-validation, un seul contrat présentant une vulnérabilité fatale peut faire échouer tout le système.
Le projet avait auparavant souligné dans ses documents que son architecture de sécurité était un avantage différenciateur clé, affirmant que « la probabilité qu’un attaquant compromette plusieurs protocoles inter-chaînes simultanément est presque nulle ». Ironie du sort, cette attaque ne visait pas plusieurs protocoles inter-chaînes, mais contournait directement la logique de validation propre à CrossCurve, rendant la structure multi-validation inefficace.
Analyse complète de la faille de contournement de la validation du pont
L’organisme de sécurité blockchain Defimon Alerts a rapidement publié un rapport d’analyse technique révélant la méthode précise de l’attaquant. La vulnérabilité centrale se situe dans le contrat ReceiverAxelar de CrossCurve, chargé de recevoir les messages provenant du réseau inter-chaînes Axelar. En temps normal, ces messages doivent être soumis à une vérification rigoureuse pour garantir qu’ils proviennent du consensus du réseau Axelar.
Cependant, l’analyse montre que la fonction expressExecute du contrat ReceiverAxelar comporte une faille fatale. N’importe qui peut appeler directement cette fonction en lui passant des paramètres de message inter-chaînes falsifiés, sans que le contrat ne vérifie suffisamment la provenance du message. Cette omission permet à l’attaquant de contourner le processus de validation du pont Axelar et d’injecter directement des instructions malveillantes dans le contrat.
Une fois qu’un message falsifié est accepté par expressExecute, cela déclenche la logique de déverrouillage des tokens dans le contrat PortalV2, cœur de la gestion des actifs de CrossCurve. Ce contrat, qui gère le verrouillage et le déverrouillage des tokens inter-chaînes, fait confiance aux instructions provenant de ReceiverAxelar. Lorsqu’un message falsifié indique « l’utilisateur a verrouillé des tokens sur la chaîne source, veuillez les libérer sur la chaîne cible », PortalV2 exécute sans condition, transférant des tokens qui ne devraient pas être libérés, à l’attaquant.
Le processus d’attaque peut être résumé ainsi :
· L’attaquant construit un message inter-chaînes falsifié, affirmant avoir déposé une grande quantité d’actifs sur la chaîne source
· Il appelle directement la fonction expressExecute du contrat ReceiverAxelar, en lui passant le message falsifié
· En l’absence de vérification, le contrat accepte le message et déclenche le déverrouillage dans PortalV2
· PortalV2 transfère les tokens à l’adresse de l’attaquant, réalisant le vol
Ce mode opératoire est particulièrement redoutable par sa répétabilité. Une fois la vulnérabilité découverte, l’attaquant peut réitérer l’appel à expressExecute avec différents messages falsifiés pour extraire divers tokens, jusqu’à épuisement complet du contrat PortalV2. Selon les données d’Arkham Intelligence, l’attaquant a effectué plusieurs transactions, vidant systématiquement tous les principaux actifs du contrat.
Revivre le drame Nomad : quatre ans plus tard, la vulnérabilité persiste
Cet incident chez CrossCurve rappelle aux experts en sécurité crypto l’incident du pont Nomad en août 2022. À l’époque, Nomad avait perdu 190 millions de dollars à cause d’un problème similaire de contournement de validation. Plus choquant encore, plus de 300 adresses de portefeuilles avaient participé à ce « vol collectif », car la vulnérabilité était si simple qu’il suffisait de copier la transaction d’attaque et de modifier l’adresse de réception pour dérober des fonds.
L’experte en sécurité Taylor Monahan, interviewée par The Block, a exprimé sa stupéfaction : « Je n’arrive pas à croire qu’après quatre ans, rien n’a changé. » Son commentaire souligne une réalité frustrante dans l’industrie crypto : malgré des pertes de milliards de dollars chaque année dues à des vulnérabilités dans les contrats intelligents, des erreurs similaires se répètent sans cesse.
Les vulnérabilités de Nomad et CrossCurve sont en substance très proches, toutes deux résultant d’une vérification insuffisante de la provenance des messages inter-chaînes. Dans un système décentralisé, vérifier « qui a envoyé ce message » est une exigence de sécurité fondamentale, mais ces deux projets ont tous deux omis cette étape critique. La faille de Nomad consistait à initialiser la racine Merkle à zéro, permettant à n’importe quel message de passer la vérification ; celle de CrossCurve est de sauter directement l’étape de vérification du pont.
Plus inquiétant encore, CrossCurve avait publiquement vanté la sécurité de son architecture multi-validation. En intégrant Axelar, LayerZero et EYWA, le projet prétendait offrir une sécurité renforcée par rapport à une validation unique. Pourtant, cette attaque a prouvé que lorsqu’une implémentation présente une faille, même la conception la plus sophistiquée ne peut garantir la sécurité. La clé réside dans la correcte mise en œuvre de chaque couche de validation, pas dans leur nombre.
De Nomad à CrossCurve, en quatre ans, l’industrie crypto a connu plusieurs attaques de ponts, notamment le vol de 625 millions de dollars sur Ronin, ou encore la perte de 325 millions de dollars via Wormhole. La leçon commune de ces événements est que les ponts inter-chaînes restent la partie la plus vulnérable de l’écosystème blockchain, car ils doivent coordonner différents modèles de sécurité. Une seule erreur peut entraîner des conséquences catastrophiques.
Le soutien de Curve Finance et la crise de confiance des investisseurs
Le soutien le plus notable de CrossCurve provenait de Michael Egorov, fondateur de Curve Finance. En septembre 2023, Egorov est devenu investisseur dans le protocole, ce qui représentait une nouvelle étape importante pour le rebranding récent en EYWA Protocol. En tant que l’un des protocoles de trading stablecoin les plus performants dans la DeFi, le soutien du fondateur de Curve a apporté une crédibilité considérable à CrossCurve.
Par la suite, CrossCurve a annoncé avoir levé 7 millions de dollars auprès d’investisseurs en capital-risque. Bien que tous les investisseurs n’aient pas été dévoilés, la participation d’Egorov a sans doute attiré d’autres acteurs institutionnels. Ces fonds auraient dû servir au développement du protocole, à des audits de sécurité et à l’expansion de l’écosystème. Cependant, la perte de 3 millions de dollars représente près de 43 % de cette levée, ce qui constitue un coup dur pour la santé financière du projet.
Après l’incident, Curve Finance a rapidement publié un communiqué sur X, en se distanciant de CrossCurve : « Les utilisateurs ayant voté dans la pool de fonds liée à Eywa pourraient devoir réévaluer leur position et envisager de retirer leurs votes. Nous encourageons tous les participants à faire preuve de vigilance lors de l’interaction avec des projets tiers, et à prendre des décisions en connaissance de cause. »
La formulation de ce communiqué est révélatrice. Curve Finance n’a pas directement condamné l’attaque ni exprimé de soutien à CrossCurve, mais a plutôt conseillé aux utilisateurs de « réévaluer leurs positions » et « de retirer leurs votes », ce qui montre une perte de confiance dans la sécurité de CrossCurve. La mention de « projets tiers » délimite clairement la responsabilité, évitant de ternir la réputation de Curve elle-même.
Pour les investisseurs et utilisateurs de CrossCurve, cet incident constitue une leçon douloureuse. Même avec un fondateur renommé, une levée de fonds de plusieurs millions, et une architecture prétendument multi-sécurité, la sécurité d’un projet n’est jamais garantie. Dans l’univers crypto, le code est la loi, et aucune promesse ou communication ne peut remplacer la sécurité éprouvée par la pratique.
