ครอสเคิร์ฟขู่ว่าจะดำเนินคดีทางกฎหมาย หลังจากช่องโหว่ของสะพานเชื่อมข้ามสายโซ่ $3M

สั้นๆ

• CrossCurve กล่าวเมื่อวันอาทิตย์ว่ามีผู้โจมตีใช้ช่องโหว่ในสัญญาสะพานของตนและระบุที่อยู่ Ethereum จำนวน 10 รายที่ได้รับเงินทุน
• ซีอีโอของบริษัท Boris Povar กล่าวว่าทีมของพวกเขาจะดำเนินการทางกฎหมายและบังคับใช้กฎหมายหากไม่ได้รับเงินคืนภายใน 72 ชั่วโมง
• บริษัทด้านความปลอดภัยประมาณการความสูญเสียไว้ที่ประมาณ 3 ล้านดอลลาร์สหรัฐในหลายบล็อกเชน แม้ว่า CrossCurve ยังไม่ได้ยืนยันตัวเลขดังกล่าวก็ตาม

โปรโตคอลการเงินแบบกระจายศูนย์ CrossCurve ซึ่งเดิมชื่อ EYWA กล่าวว่าได้ระบุที่อยู่ Ethereum จำนวนสิบแห่งที่เชื่อมโยงกับการแฮ็กระบบโอนโทเค็นของตนเมื่อวันอาทิตย์ที่ผ่านมา CrossCurve เปิดเผยในบ่ายวันอาทิตย์ว่ามีผู้โจมตีใช้ช่องโหว่ “เกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ในหนึ่งในสัญญาอัจฉริยะ” ที่ใช้สำหรับสะพานข้ามสายโซ่ ซึ่งเป็นระบบที่ให้ผู้ใช้ย้ายโทเค็นระหว่างบล็อกเชนต่างๆ ไม่กี่ชั่วโมงต่อมา ซีอีโอ Boris Povar กล่าวว่าทีมได้ระบุที่อยู่ Ethereum จำนวนสิบแห่งที่ได้รับเงินในเรื่องนี้ “โทเค็นเหล่านี้ถูกนำไปโดยผิดกฎหมายจากผู้ใช้เนื่องจากการโจมตีช่องโหว่ในสัญญาอัจฉริยะ” Povar กล่าว “เราไม่เชื่อว่านี่เป็นความตั้งใจของคุณ และไม่มีสัญญาณของเจตนาประสงค์ร้าย”

 Povar เตือนว่าหากไม่ได้รับเงินคืนหรือไม่มีการติดต่อภายใน 72 ชั่วโมง ทีมของพวกเขาจะ “สมมติว่ามีเจตนาเป็นการร้ายและจัดการเรื่องนี้เป็นปัญหาทางกฎหมาย” ความล้มเหลวในการคืนเงินจะทำให้เกิดการเร่งรัดทันที รวมถึงการส่งต่อคดีอาญา การดำเนินคดีทางแพ่ง การประสานงานกับแพลตฟอร์มแลกเปลี่ยนและผู้ออกเหรียญเพื่อระงับทรัพย์สิน การเปิดเผยข้อมูลวอลเล็ตและธุรกรรมต่อสาธารณะ และความร่วมมือกับเจ้าหน้าที่บังคับใช้กฎหมายและบริษัทวิเคราะห์บล็อกเชนเพิ่มเติม สัญญาอัจฉริยะคือโปรแกรมที่ทำงานบนบล็อกเชนและดำเนินธุรกรรมโดยอัตโนมัติตามกฎเกณฑ์ที่กำหนดไว้ล่วงหน้า

บัญชีสังคม Defimon Alerts ซึ่งดำเนินการโดยบริษัทด้านความปลอดภัยบล็อกเชน Decurity ให้ประมาณการเบื้องต้นว่าการโจมตีนี้ส่งผลให้สูญเสียประมาณ 3 ล้านดอลลาร์ใน “หลายเครือข่าย” โดยเสริมว่าช่องโหว่ทำให้ผู้โจมตีสามารถส่งข้อความข้ามสายโซ่ปลอมบนสัญญาอัจฉริยะของ CrossCurve ซึ่งข้ามการตรวจสอบและทำให้สะพานปล่อยเงิน บริษัทด้านความปลอดภัยบล็อกเชน BlockSec ในขณะเดียวกันประมาณการความสูญเสียรวมอยู่ที่ประมาณ 2.76 ล้านดอลลาร์ รวมถึงประมาณ 1.3 ล้านดอลลาร์บน Ethereum และประมาณ 1.28 ล้านดอลลาร์บน Arbitrum รวมถึงหลายสายโซ่ เช่น Optimism, Base, Mantle, Kava, Frax, Celo และ Blast CrossCurve ยังไม่ได้ยืนยันตัวเลขความสูญเสียที่บริษัทด้านความปลอดภัยอ้างถึงต่อสาธารณะ และไม่ได้แชร์ตัวเลขของตนเองเกี่ยวกับเงินทุนที่ได้รับผลกระทบ Decrypt ได้ติดต่อ CrossCurve เพื่อขอความคิดเห็น การโจมตีนี้เกิดจาก “การขาดการตรวจสอบความถูกต้อง” ซึ่งทีมงานของ BlockSec กล่าวกับ Decrypt “ข้อความข้ามสายโซ่ที่ควรได้รับการตรวจสอบไม่ได้รับการยืนยัน ทำให้สัญญาในปลายทางเชื่อว่าข้อความนั้นเป็นธุรกรรมจริงที่เริ่มต้นบนสายโซ่ต้นทางและปล่อยทรัพย์สินตามข้อมูล payload ที่ผู้โจมตีปลอมแปลง” BlockSec กล่าว เหตุการณ์นี้แสดงให้เห็นว่า “ความปลอดภัยข้ามสายโซ่ยังพึ่งพาการตรวจสอบความถูกต้องเพียงเส้นทางเดียวมากเกินไป” BlockSec เพิ่มเติม “หากเส้นทางการดำเนินการทางเลือกใดข้ามการตรวจสอบนั้น ความเชื่อมั่นทั้งหมดจะล่มสลาย” “การโจมตีนี้ไม่ใช่ความล้มเหลวของโปรโตคอลหลักของ Axelar; เป็นความล้มเหลวด้านฝั่งผู้รับ” Dan Dadybayo หัวหน้าทีมวิจัยและกลยุทธ์ที่ Unstoppable Wallet กล่าวกับ Decrypt. “สัญญา ReceiverAxelar แบบกำหนดเองของ CrossCurve ดำเนินการส่งข้อความข้ามสายโซ่โดยไม่ทำการยืนยันตัวตนอย่างเพียงพอ” Dadybayo กล่าวว่ารูปแบบนี้เคยเห็นมาก่อนในกรณีเช่นการแฮ็ก Nomad ในปี 2022

“ส่วนที่ยากที่สุดของความปลอดภัยสะพานไม่ใช่ชั้นข้อความ แต่เป็นการรับประกันว่าไม่มีอะไรเกิดขึ้นจนกว่าความถูกต้องจะได้รับการพิสูจน์อย่างเต็มที่” เขาเสริม “ตัวรับแบบกำหนดเองยังคงเป็นจุดอ่อนที่สุด ตราบใดที่สะพานรวมสภาพคล่องและพึ่งพาโลจิกการตรวจสอบแบบเฉพาะตัว พวกมันจะยังคงเป็นพื้นผิวความเสี่ยงสูงสุดใน DeFi”