CrossCurve Minggu Minggu dikonfirmasi mengalami serangan, kerentanan verifikasi kontrak pintar menyebabkan kerugian multi-chain sekitar 3.000.000 dolar AS. Penyerang memalsukan pesan untuk melewati verifikasi kontrak ReceiverAxelar, metode yang mirip dengan insiden hacker Nomad tahun 2022. Proyek ini pernah didukung oleh pendiri Curve Finance dan mengumpulkan dana sebesar 7.000.000 dolar AS.
CrossCurve Konfirmasi Darurat Serangan pada Jaringan Jembatan
CrossCurve merilis pengumuman darurat di platform X: “Jaringan jembatan kami saat ini sedang diserang, penyerang memanfaatkan celah di salah satu kontrak pintar. Selama penyelidikan berlangsung, harap hentikan semua interaksi dengan CrossCurve.” Pernyataan singkat ini mengonfirmasi kekhawatiran komunitas, tetapi tidak memberikan rincian serangan atau data kerugian resmi.
Berdasarkan data pelacakan Arkham Intelligence, saldo kontrak PortalV2 CrossCurve sekitar $3.000.000 menurun drastis menjadi hampir nol sekitar 31 Januari. Pengosongan dana secara total ini menunjukkan bahwa penyerang berhasil melewati semua mekanisme keamanan dan mentransfer hampir seluruh aset dalam kontrak. Lebih mengkhawatirkan lagi, kerentanan ini tidak terbatas pada satu blockchain saja, tetapi melintasi beberapa jaringan yang didukung CrossCurve, menunjukkan ini adalah kegagalan keamanan sistemik.
CrossCurve diposisikan sebagai decentralized cross-chain exchange (DEX) dan protokol jembatan konsensus, dibangun oleh tim CrossCurve bekerja sama dengan Curve Finance. Platform ini menggunakan mekanisme yang disebut “jembatan konsensus”, yang merutekan transaksi melalui beberapa protokol verifikasi independen seperti Axelar, LayerZero, dan jaringan oracle EYWA sendiri, bertujuan mengurangi risiko single point failure. Namun, serangan ini membuktikan bahwa bahkan dengan arsitektur verifikasi multi-layer, sistem tetap rentan jika satu kontrak memiliki celah fatal.
Proyek ini sebelumnya menekankan dalam dokumen bahwa arsitektur keamanannya adalah keunggulan diferensiasi utama, dan menyatakan “kemungkinan hacker menyerang beberapa protokol lintas rantai secara bersamaan hampir nol.” Ironisnya, serangan ini bukan menargetkan beberapa protokol lintas rantai, melainkan langsung melewati logika verifikasi internal CrossCurve sendiri, membuat arsitektur verifikasi multi-layer menjadi tidak berarti.
Analisis Lengkap Celah Penghindaran Verifikasi Gateway
Lembaga keamanan blockchain Defimon Alerts dengan cepat merilis laporan analisis teknis, mengungkapkan metode spesifik penyerang. Kerentanan utama terletak pada kontrak ReceiverAxelar CrossCurve, yang bertanggung jawab menerima pesan dari jaringan lintas rantai Axelar. Dalam kondisi normal, pesan ini harus melalui verifikasi gateway yang ketat, memastikan hanya pesan yang sah dari konsensus jaringan Axelar yang dapat dieksekusi.
Namun, analisis menunjukkan bahwa fungsi expressExecute dalam kontrak ReceiverAxelar memiliki cacat fatal. Siapa saja dapat langsung memanggil fungsi ini dan memasukkan parameter pesan lintas rantai palsu, tanpa verifikasi sumber pesan yang memadai. Kekurangan ini memungkinkan penyerang melewati proses verifikasi gateway Axelar yang diharapkan, dan langsung menyuntikkan instruksi berbahaya ke kontrak.
Begitu pesan palsu diterima oleh fungsi expressExecute, akan memicu logika unlock token di kontrak PortalV2, yang merupakan kontrak custodial aset utama CrossCurve, bertanggung jawab mengunci dan melepaskan token lintas rantai. Karena kontrak ini mempercayai instruksi dari ReceiverAxelar, ketika pesan palsu menyatakan “pengguna telah mengunci token di rantai sumber, silakan lepaskan di rantai target”, PortalV2 akan mengeksekusi tanpa syarat, dan mentransfer token yang seharusnya tidak dilepaskan ke penyerang.
Proses serangan dapat disederhanakan sebagai berikut
· Penyerang membuat pesan lintas rantai palsu, mengklaim telah menyetor aset dalam jumlah besar di rantai sumber
· Langsung memanggil fungsi expressExecute kontrak ReceiverAxelar dengan pesan palsu
· Karena tidak ada pemeriksaan verifikasi, kontrak menerima pesan palsu dan memicu unlock di PortalV2
· PortalV2 mentransfer token ke alamat yang ditunjuk penyerang, menyelesaikan pencurian
Metode serangan ini sangat menakutkan karena dapat diulang. Setelah celah ditemukan, penyerang dapat berulang kali memanggil fungsi expressExecute, memalsukan pesan berbeda setiap kali untuk mengekstrak token berbeda, sampai kontrak PortalV2 benar-benar habis. Berdasarkan data Arkham Intelligence, penyerang memang melakukan beberapa transaksi, secara sistematis mengosongkan semua aset utama dalam kontrak.
Mengulang Tragedi Nomad: Empat Tahun Kerentanan Masih Ada
Insiden serangan CrossCurve ini mengingatkan para ahli keamanan crypto pada kerentanan jembatan Nomad tahun 2022. Saat itu, Nomad kehilangan sekitar 190 juta dolar AS karena masalah serupa dalam verifikasi, dan lebih dari 300 alamat dompet terlibat dalam “perampokan kolektif” karena kerentanan yang terlalu sederhana, cukup menyalin transaksi serangan dan mengubah alamat penerima untuk mencuri dana.
Ahli keamanan Taylor Monahan dalam wawancara dengan The Block menyatakan terkejut: “Saya hampir tidak percaya bahwa setelah empat tahun, situasinya tidak berubah sama sekali.” Keluhannya menunjukkan kenyataan menyedihkan dalam industri crypto, di mana meskipun miliaran dolar hilang setiap tahun karena kerentanan kontrak pintar, kesalahan serupa terus berulang.
Kerentanan Nomad dan CrossCurve secara esensial sangat mirip, keduanya berasal dari kurangnya verifikasi sumber pesan lintas rantai. Dalam sistem terdesentralisasi, memverifikasi “siapa yang mengirim pesan ini” adalah persyaratan keamanan dasar, tetapi kedua proyek ini gagal di bagian kritis ini. Kerentanan Nomad adalah inisialisasi root Merkle Tree dengan nilai nol, memungkinkan siapa saja melewati verifikasi; CrossCurve malah melewati langkah verifikasi gateway secara langsung.
Lebih mengkhawatirkan lagi, CrossCurve pernah mempromosikan keunggulan keamanan dari arsitektur verifikasi multi-layer mereka. Proyek ini mengintegrasikan Axelar, LayerZero, dan EYWA sebagai mekanisme verifikasi tiga lapis, secara teori harus lebih aman daripada satu mekanisme verifikasi saja. Namun, serangan ini membuktikan bahwa ketika implementasi memiliki celah, bahkan arsitektur yang paling kompleks pun tidak mampu melindungi. Keamanan tidak bergantung pada berapa banyak lapisan verifikasi, tetapi apakah setiap lapisan diimplementasikan dengan benar.
Dari Nomad ke CrossCurve selama empat tahun, industri crypto mengalami beberapa serangan jembatan besar, termasuk pencurian 625 juta dolar dari Ronin dan kerugian 325 juta dolar dari Wormhole. Pelajaran bersama dari kejadian ini adalah bahwa jembatan lintas rantai adalah bagian paling rentan dari ekosistem blockchain, karena harus berkoordinasi di antara berbagai model keamanan, dan satu kelalaian dapat berakibat bencana.
Dukungan Curve Finance dan Krisis Kepercayaan Investor
Dukungan paling terkenal dari CrossCurve sebelumnya berasal dari pendiri Curve Finance, Michael Egorov. Pada September 2023, Egorov menjadi investor di protokol ini, yang merupakan kabar baik besar bagi EYWA Protocol yang baru berganti nama saat itu. Sebagai salah satu protokol perdagangan stablecoin paling sukses di DeFi, dukungan pendiri Curve memberi CrossCurve reputasi yang sangat tinggi.
Selanjutnya, CrossCurve mengumumkan telah mengumpulkan dana sebesar 7.000.000 dolar dari lembaga modal ventura. Meskipun tidak mengungkapkan semua daftar investor, keikutsertaan Egorov tentu menarik perhatian lembaga lain untuk ikut berinvestasi. Dana ini seharusnya digunakan untuk pengembangan protokol, audit keamanan, dan pengembangan ekosistem, tetapi kerugian sebesar 3.000.000 dolar ini hampir 43% dari total pendanaan, memberikan pukulan serius terhadap kondisi keuangan proyek.
Setelah kejadian, Curve Finance dengan cepat merilis pernyataan di platform X, memisahkan diri dari CrossCurve: “Pengguna yang telah melakukan voting di pool dana terkait Eywa mungkin perlu meninjau kembali kepemilikan mereka dan mempertimbangkan untuk membatalkan voting tersebut. Kami terus mendorong semua peserta untuk tetap waspada saat berinteraksi dengan proyek pihak ketiga dan membuat keputusan yang sadar risiko.”
Kalimat ini menarik perhatian. Curve Finance tidak secara langsung menyalahkan serangan atau menyatakan dukungan terhadap CrossCurve, melainkan mengingatkan pengguna untuk “meninjau kembali kepemilikan” dan “membatalkan voting”, yang menunjukkan bahwa tim Curve sudah kehilangan kepercayaan terhadap keamanan CrossCurve. Istilah “proyek pihak ketiga” juga secara tegas membatasi tanggung jawab, menghindari kerusakan reputasi Curve sendiri.
Bagi investor dan pengguna CrossCurve, insiden ini menjadi pelajaran pahit. Meskipun didukung pendiri terkenal, telah mengumpulkan ratusan juta dolar, dan mengklaim menggunakan arsitektur keamanan multi-layer, tidak ada jaminan keamanan proyek. Dalam dunia crypto, kode adalah hukum, dan tidak ada janji atau promosi yang bisa menggantikan keamanan kontrak pintar yang telah teruji secara nyata.
