تهدد CrossCurve باتخاذ إجراءات قانونية بعد استغلال ثغرة في جسر السلسلة المتعددة $3M في عملية الاختراق الأخيرة التي استهدفت منصة الجسر عبر السلسلة.

باختصار

• قالت CrossCurve يوم الأحد إن مهاجمًا استغل ثغرة في عقود الجسر الخاصة بها وحدد 10 عناوين إيثيريوم تلقت الأموال.
• قال مديرها التنفيذي، بوريس بوفار، إن فريقهم سيتخذ إجراءات قانونية وتنفيذية إذا لم يتم إرجاع الأموال خلال 72 ساعة.
• تقدر شركات الأمن الخسائر بحوالي 3 ملايين دولار عبر عدة سلاسل كتل، على الرغم من أن CrossCurve لم تؤكد بعد هذا الرقم.

تقول بروتوكول التمويل اللامركزي CrossCurve، المعروف سابقًا باسم EYWA، إنها حددت علنًا عشرة عناوين إيثيريوم مرتبطة باختراق نظام نقل الرموز الخاص بها يوم الأحد. وكشفت CrossCurve بعد ظهر الأحد أن مهاجمًا استغل ثغرة “تتعلق باستغلال ثغرة في أحد العقود الذكية” المستخدمة لجسرها عبر السلاسل، وهو نظام يتيح للمستخدمين نقل الرموز بين سلاسل كتل مختلفة. بعد ساعات، قال المدير التنفيذي لـ CrossCurve، بوريس بوفار، إن الفريق حدد عشرة عناوين إيثيريوم تلقت الأموال المعنية. قال بوفار: “تم سرقة هذه الرموز بشكل غير قانوني من المستخدمين بسبب استغلال في عقد ذكي”. “نعتقد أن هذا لم يكن عن قصد من جانبكم، ولا توجد مؤشرات على نية خبيثة.”

حذر بوفار من أنه إذا لم يتم إرجاع الأموال أو لم يتم التواصل خلال 72 ساعة، فسيقوم فريقهم بـ “افتراض نية خبيثة ومعاملة الأمر كمشكلة قضائية.” فشل في إرجاع الأموال سيؤدي إلى تصعيد فوري، بما في ذلك إحالات جنائية، دعاوى مدنية، التنسيق مع البورصات والجهات المصدرة لتجميد الأصول، الكشف العلني عن بيانات المحافظ والمعاملات، والتعاون مع سلطات إنفاذ القانون وشركات تحليلات البلوكتشين، أضاف بوفار. العقد الذكي هو برنامج يعمل على بلوكتشين وينفذ المعاملات تلقائيًا وفقًا لقواعد محددة مسبقًا.

قدمت حسابات التنبيه من شركة أمن البلوكتشين Decurity، وهي حساب اجتماعي يديره شركة أمن البلوكتشين، تقديرًا أوليًا بأن الاستغلال أدى إلى خسائر حوالي 3 ملايين دولار عبر “عدة شبكات”، مضيفة أن الثغرة سمحت للمهاجم بإرسال رسالة عبر السلسلة الزائفة على عقد CrossCurve الذكي التي تجاوزت الفحوصات وتسببت في إصدار الجسر للأموال. وفي الوقت نفسه، قدرت شركة أمن البلوكتشين BlockSec إجمالي الخسائر بحوالي 2.76 مليون دولار، بما في ذلك حوالي 1.3 مليون دولار على إيثيريوم وحوالي 1.28 مليون دولار على Arbitrum، بالإضافة إلى عدة سلاسل، بما في ذلك Optimism وBase وMantle وKava وFrax وCelo وBlast. لم تؤكد CrossCurve علنًا تقدير الخسائر الذي ذكرته شركات الأمن، ولم تشارك رقمها الخاص للأموال المتأثرة. تواصلت Decrypt مع CrossCurve للتعليق.

نشأ الاستغلال من “نقص في التحقق من الصحة”، كما أخبر فريق BlockSec Decrypt. قالوا: “الرسائل عبر السلسلة التي كان من المفترض أن يتم التحقق منها لم يتم التحقق منها، مما أدى إلى اعتقاد عقد السلسلة الوجهة أن الرسالة تمثل معاملة حقيقية أُطلقت على السلسلة المصدرية وإصدار الأصول المقابلة استنادًا إلى بيانات حمولة مزورة من المهاجم.” تُظهر الحادثة أن “الأمان عبر السلسلة لا يزال يعتمد بشكل مفرط على مسار تحقق واحد”، أضافت شركة BlockSec. “إذا تم تجاوز هذا التحقق بواسطة مسار تنفيذ بديل، فإن نموذج الثقة بأكمله ينهار.”

قال دان داديبايو، قائد البحث والاستراتيجية في Unstoppable Wallet، لـ Decrypt: “لم تكن هذه الثغرة فشلًا في بروتوكول Axelar الأساسي؛ كانت فشلًا من جانب المستلم”. “عقد ReceiverAxelar المخصص لـ CrossCurve نفذ رسائل عبر السلسلة دون التحقق منها بشكل كافٍ أولاً.” قال داديبايو إن هذا النمط قد شوهد من قبل في حالات مثل اختراق Nomad في 2022.

وأضاف: “الجزء الصعب في أمان الجسر ليس طبقة الرسائل، بل التأكد من عدم حدوث شيء حتى يتم إثبات الأصالة بشكل كامل”. “المستقبلات المخصصة تظل الحلقة الأضعف. طالما تركز الجسور على السيولة وتعتمد على منطق تحقق مخصص، ستظل أعلى سطح مخاطرة في التمويل اللامركزي.”