Giao thức tiền điện tử gặp $3M sự cố qua cầu chuỗi chéo

Crossover: Lỗ hổng bảo mật trong giao thức crypto CrossCurve đã đánh cắp ước tính khoảng 3 triệu đô la từ quỹ cầu nối chuỗi chéo

Nội dungLỗ hổng cầu nối gây ra phản ứng khẩn cấpLỗi hợp đồng thông minh tiết lộ rủi ro xác thực thông điệpGiám đốc điều hành phát thưởng để lấy lại hàng bị đánh cắpDự án đã xác nhận sự cố và khuyên người dùng ngừng sử dụng khi cuộc điều tra tiếp tục.

Lỗ hổng cầu nối gây ra phản ứng khẩn cấp

Một số phần mềm giao thức Crypto CrossCurve đã đăng tải về vụ tấn công vào cuối Chủ nhật trong một cập nhật công khai trên X

Nhóm này tuyên bố rằng cầu của họ đang bị khai thác tích cực do lỗ hổng trong hợp đồng thông minh. Người dùng được khuyến nghị khóa tất cả các tương tác cho đến khi có thông báo mới.

Vụ hack ảnh hưởng đến nhiều mạng blockchain liên quan đến cầu nối này

Nó chỉ ra các rủi ro mãn tính liên quan đến hệ thống chuỗi chéo

Các hệ thống này đã bị tấn công nhiều lần trong lĩnh vực crypto.

Thông tin kỹ thuật sớm được các nhà nghiên cứu an ninh cung cấp

Defimon Alerts, thuộc công ty an ninh blockchain Decurity, cho biết rằng các hacker đã khai thác xác thực thông điệp sai lệch

Lỗi này cho phép các tin nhắn chuỗi chéo giả mạo được coi là xác thực.

Báo cáo cho biết rằng một hợp đồng không được sử dụng để xác minh tính xác thực của các tin nhắn

Các hacker được phép gọi một hàm hợp đồng nhận để thực thi nhanh (expressExecute)

Điều này bỏ qua xác thực của cổng và vô hiệu hóa token mà không có sự cho phép.

Chương trình phá sản đã được phân phối, nhưng không có giao dịch tiền nào trên chuỗi nguồn

Lỗ hổng này cho phép in hoặc giải mã tài sản trái phép. Ước tính thiệt hại khoảng 3 triệu đô la.

Lỗi hợp đồng thông minh tiết lộ rủi ro xác thực thông điệp

Sự cố tập trung vào mã xác thực lỏng lẻo trong các hợp đồng cầu nối

Bất kỳ bên nào cũng có thể tạo ra một tin nhắn giả mạo, trông có vẻ hợp lệ

Tin nhắn này được tin tưởng, và tiền được chuyển ra bởi hợp đồng nhận.

Đây là các ví dụ điển hình của các vụ khai thác chuỗi chéo. Các cầu nối phụ thuộc vào việc truyền tải các tin nhắn qua các mạng lưới

Trong trường hợp kiểm tra thất bại, các hacker có thể rút sạch tài nguyên trong thời gian ngắn.

CrossCurve cho biết họ đang xem xét tất cả các hợp đồng bị ảnh hưởng

Nhóm chưa xác minh mức độ ảnh hưởng đến người dùng. Hiện tại, còn nhiều điều chưa rõ về việc bồi thường.

Giao thức cũng cảnh báo người dùng liên quan đến hoạt động quản trị. Curve khuyến nghị xem xét lại các vị trí của những người ủy quyền bỏ phiếu cho các pool CrossCurve. Người dùng được khuyên cẩn thận khi sử dụng các bên thứ ba.

Giám đốc điều hành phát thưởng để lấy lại hàng bị đánh cắp

Giám đốc điều hành CrossCurve Boris Povar đã kêu gọi các ví liên quan đến vụ khai thác trong nỗ lực phục hồi.

Ông đã phát hành mười địa chỉ ví, được cho là chứa token bị đánh cắp. Ông yêu cầu trả lại tự nguyện.

Theo Povar, số tiền bị đánh cắp trong một vụ khai thác hợp đồng. Ông nói rằng không có bằng chứng cho ý định xấu. Việc trả lại trong vòng bảy hai giờ được thưởng tối đa mười phần trăm.

Ông đe dọa sẽ tăng cường các biện pháp nếu không hợp tác. CrossCurve sẽ nhờ đến pháp luật và tiến hành các hành động dân sự. Nhóm cũng cho biết có thể hợp tác với các đối tác để đóng băng tài sản.

Những phần thưởng này đã trở thành thông lệ sau các vụ khai thác DeFi. Các hacker khác trả lại tiền như một khoản hối lộ

Một số giữ lại tài sản ngay cả khi bị ép buộc bởi người khác.

Các cuộc tấn công vào cầu nối chuỗi chéo vẫn đang đánh cắp hàng tỷ đô la trong ngành. Các vụ việc trước đây gồm Ronin, Wormhole và Nomad.

Các vấn đề về xác thực thông điệp vẫn là mối đe dọa lớn. Lỗ hổng của CrossCurve nhấn mạnh sự cần thiết của các cuộc kiểm tra an ninh chặt chẽ hơn và đơn giản hóa thiết kế của các cầu nối.