CrossCurve تعرض للاختراق وتبخرت 3 ملايين دولار! رسائل مزورة تهاجم جسر متعدد السلاسل

أكد بروتوكول CrossCurve، وهو بروتوكول سيولة عبر السلاسل، هجوما يوم الأحد، حيث أدى ثغرة في التحقق من العقود الذكية إلى خسارة تقارب 3,000,000 دولار عبر عدة سلاسل. تجاوز المهاجم التحقق من عقد ReceiverAxelar عن طريق تزوير الرسائل، مشابهة لاختراق Nomad لعام 2022. كان المشروع مستثمرا سابقا من قبل مؤسس شركة كيرف فاينانس وجمع 7,000,000 دولار.

أكدت كروس كيرف بشكل عاجل أن شبكة الجسور تعرضت لهجوم

أصدرت CrossCurve إعلانا عاجلا على منصة X: “شبكة الجسر لدينا تتعرض حاليا لهجوم، وقد استغل مهاجم ثغرة في عقد ذكي. أوقف جميع التفاعلات مع CrossCurve أثناء استمرار التحقيق.” أكد هذا البيان الموجز مخاوف المجتمع لكنه لم يقدم بيانات رسمية حول تفاصيل الهجوم أو حجم الأضرار.

وفقا لبيانات تتبع Arkham Intelligence، انخفض رصيد عقد CrossCurve في PortalV2 بشكل حاد من حوالي 3,000,000 دولار إلى ما يقرب من الصفر حوالي 31 يناير. يشير هذا الاستنزاف الكامل للأموال إلى أن المهاجم تجاوز جميع آليات الأمان بنجاح ونقل تقريبا جميع الأصول في العقد. والأكثر إثارة للقلق، أن تأثير الثغرة لا يقتصر على بلوكشين واحد فقط، بل يمتد عبر عدة شبكات مدعومة من CrossCurve، مما يشير إلى فشل أمني نظامي.

تم تصنيف CrossCurve كبورصة لامركزية عبر السلاسل (DEX) وبروتوكول جسر توافقي، وتم بناؤها بواسطة فريق CrossCurve بالشراكة مع Curve Finance. تستخدم المنصة ما يسمى بآلية “جسر الإجماع” لتوجيه المعاملات عبر عدة بروتوكولات تحقق مستقلة مثل Axelar وLayerZero وشبكة أوراكل EYWA الخاصة بها، بهدف تقليل خطر نقاط الفشل الفردية. ومع ذلك، أثبت هذا الهجوم أنه حتى مع بنية المصادقة متعددة العوامل، طالما أن العقد الواحد يحتوي على ثغرة قاتلة، يمكن للنظام بأكمله أن ينهار.

وقد أكد المشروع سابقا على بنية الأمان كعامل تمييز رئيسي في الوثيقة، مشيرا إلى أن “احتمال اختراق عدة بروتوكولات عبر السلاسل في نفس الوقت يكاد يكون معدوما.” ومن المفارقات أن هذا الهجوم لم يستهدف عدة بروتوكولات عبر السلاسل، بل تجاوز مباشرة منطق التحقق الخاص ب CrossCurve، مما جعل بنية المصادقة متعددة العوامل غير فعالة.

تتجاوز مصادقة البوابة الدقة الكاملة لمسار الاستغلال

أصدرت وكالة Defimon Alerts، وهي وكالة أمن للبلوك تشين، بسرعة تقرير تحليل فني كشف عن طريقة عمل المهاجمين تحديدا. تكمن الثغرة الأساسية في عقد ReceiverAxelar الخاص ب CrossCurve، وهو المسؤول عن استقبال الرسائل من شبكة Axelar عبر السلاسل. في الظروف العادية، يجب أن تخضع هذه الرسائل لتحقق صارم من البوابة لضمان تنفيذ الرسائل الشرعية التي تتجاوز توافق شبكة أكسيلار فقط.

ومع ذلك، كشف التحليل عن خلل قاتل في دالة expressExecute في عقد ReceiverAxelar. يمكن لأي شخص استدعاء الدالة مباشرة وتمرير معلمات الرسائل المزيفة عبر السلسلة دون التحقق الكافي من مصدر الرسالة. هذا الغياب يسمح للمهاجمين بتجاوز عملية المصادقة المقصودة لبوابة أكسيلار وحقن تعليمات خبيثة مباشرة في العقد.

بمجرد قبول الرسالة المزورة من قبل دالة expressExecute، يتم تفعيل منطق فتح الرمز على عقد PortalV2 الخاص بالبروتوكول. PortalV2 هو عقد حفظ الأصول الأساسي لشركة CrossCurve، مسؤول عن قفل وإطلاق الرموز الموصولة عبر السلاسل. نظرا لأن العقد يثق بالتعليمات من ReceiverAxelar، عندما تطلب الرسالة المزورة “المستخدم قد قفل رموز على سلسلة المصدر، يرجى تحريرها على سلسلة الهدف”، فإن PortalV2 سينفذ بدون شروط، وينقل رموز لم يكن من المفترض أن تطلق للمهاجم.

يمكن تبسيط عملية الهجوم إلى الخطوات التالية

· يقوم المهاجم بإنشاء رسالة مزورة عبر السلسلة يدعي أنه أودع كمية كبيرة من الأصول على سلسلة المصدر

· استدعاء دالة expressExecute مباشرة في عقد ReceiverAxelar لتمرير رسالة مزورة

· بسبب عدم وجود فحوصات تحقق، يقبل العقد الرسالة المزورة ويفعل فتح PortalV2

· ينقل PortalV2 الرموز إلى العنوان الذي يحدده المهاجم لإكمال عملية السرقة

الشيء المخيف في طريقة الهجوم هذه هو قابليتها للتكرار. بمجرد اكتشاف الثغرة، يمكن للمهاجم استدعاء دالة expressExecute مرارا، وتزوير رسائل مختلفة في كل مرة لاستخراج رموز مختلفة حتى ينتهي عقد PortalV2 تماما. وبحسب بيانات Arkham Intelligence، نفذ المهاجمون عدة معاملات، مما أدى إلى تفريغ جميع الأصول الرئيسية في العقد بشكل منهجي.

تكرار لمأساة نوماد: بعد أربع سنوات، لا تزال الثغرة موجودة

ذكر هذا الهجوم عبر CrossCurve خبراء أمن العملات الرقمية بثغرة جسر نوماد في أغسطس 2022. في ذلك الوقت، خسرت نوماد 190,000,000 دولار بسبب مشكلة تجاوز التحقق المماثلة، والأكثر إثارة للدهشة، شارك أكثر من 300 عنوان محفظة في هذه “السرقة الجماعية” لأن الثغرة كانت بسيطة جدا بحيث يمكن لأي شخص سرقة أموال بمجرد نسخ معاملة الهجوم وتعديل العنوان المستلم.

صدمت خبيرة الأمن تايلور مونهان من ذلك في مقابلة مع The Block: “لا أصدق أنه بعد أربع سنوات، لم يتغير شيء.” تشير أسفها إلى واقع محبط في صناعة العملات الرقمية، حيث تتكرر نفس أنواع الأخطاء رغم خسارة مليارات الدولارات سنويا بسبب ثغرات العقود الذكية.

نقاط ضعف نوماد وكروس كيرف متشابهة جدا في طبيعتها، ناتجة عن عدم كفاية التحقق من مصادر الرسائل عبر السلاسل. في الأنظمة الموزعة، يعد التحقق من “من أرسل هذه الرسالة” هو أبسط متطلبات أمنية، لكن كلا المشروعين ارتكبا إهمالا قاتلا في هذا الرابط. نقطة ضعف نوماد هي تهيئة جذر ميركل إلى قيمة صفرية، مما يسمح لأي رسالة بتمرير التحقق؛ CrossCurve يتخطى خطوة التحقق من البوابات مباشرة.

والأكثر إثارة للقلق، أن CrossCurve روجت علنا إلى فوائد الأمان لبنية المصادقة متعددة العوامل الخاصة بها. يدمج المشروع آليات التحقق الثلاثي Axelar وLayerZero وEYWA، والتي من المفترض نظريا أن تكون أكثر أمانا من نظام تحقق واحد. ومع ذلك، يثبت هذا الهجوم أنه عندما توجد ثغرات على مستوى التنفيذ، مهما كان التصميم المعماري معقدا، لا يمكنه توفير الحماية. مفتاح الأمان ليس عدد طبقات التحقق، بل ما إذا كانت كل طبقة منفذة بشكل صحيح.

خلال السنوات الأربع التي مرت من نوماد إلى كروس كيرف، شهدت صناعة العملات الرقمية هجمات جسرية متعددة، بما في ذلك سرقة رونين بقيمة 625,000,000 دولار، وخسائر Wormhole بقيمة 325,000,000 دولار، وأكثر. الدرس المشترك من هذه الحوادث هو أن الجسور العابرة للسلاسل هي الحلقة الأكثر ضعفا في منظومة البلوك تشين لأنها يجب أن تنسق بين نماذج أمنية مختلفة، وفشل أي رابط قد يؤدي إلى عواقب كارثية.

تأييد كيرف فاينانس وأزمة ثقة المستثمرين

أما الاعتماد السابق الذي فتخر به CrossCurve فكان من مؤسس Curve Finance مايكل إيغوروف. في سبتمبر 2023، أصبح إيجوروف مستثمرا في هذا البروتوكول، وهو ما كان إيجابيا كبيرا لبروتوكول EYWA، الذي كان قد تم إعادة تسميته في ذلك الوقت. شركة Curve Finance، واحدة من أنجح بروتوكولات تداول العملات المستقرة في مجال التمويل اللامركزي، شهدت قيام مؤسسيها بمنح CrossCurve دفعة كبيرة في المصداقية.

لاحقا، أعلنت كروس كيرف أنها جمعت 7,000,000 دولار من مؤسسات رأس المال الاستثماري. على الرغم من أن المشروع لم يكشف عن قائمة جميع المستثمرين، إلا أن مشاركة إيجوروف جذبت بلا شك مؤسسات أخرى لاتباع نفس الحذاء. كان من المفترض أن يستخدم هذا التمويل لتطوير البروتوكولات، وتدقيقات الأمان، وتوسيع النظام البيئي، لكن هذه الخسارة البالغة 3,000,000 دولار كانت تشكل ما يقارب 43٪ من تمويله، مما وجه ضربة قوية للصحة المالية للمشروع.

بعد الحادثة، أصدرت Curve Finance بيانا بسرعة على منصة X، حيث وضعت خطا واضحا مع CrossCurve: “قد يحتاج المستخدمون الذين خصصوا أصواتا لتجميع Eywa إلى إعادة النظر في ممتلكاتهم والنظر في سحب تلك الأصوات. نواصل تشجيع جميع المشاركين على اليقظة واتخاذ قرارات واعية للمخاطر عند التفاعل مع مشاريع الطرف الثالث.”

صياغة هذا البيان مرحة. بدلا من إدانة الهجوم بشكل مباشر أو التعبير عن دعمهم لكروسكيرف، ذكرت كيرف فاينانس المستخدمين ب “إعادة النظر في مواقعهم” و"إلغاء أصواتهم"، مما يشير إلى أن فريق كيرف فقد الثقة في أمان كروس كيرف. مصطلح “مشروع طرف ثالث” يحدد بوضوح حدود المسؤولية لتجنب الأضرار الجانبية لسمعة Curve نفسها.

بالنسبة لمستثمري ومستخدمي CrossCurve، هذه الحادثة درس مؤلم. حتى لو كان هناك تأييد من مؤسس معروف، وتمويل بملايين الدولارات، وادعى اعتماد بنية متعددة الأمنيات، لا يمكن ضمان أمان المشروع. في عالم العملات الرقمية، الكود هو القانون، ولا يمكن لأي دعاية أو وعد أن يقارن بأمن العقود الذكية المجربة.