Krypto kaufen
Bezahlen mit
USD
USD
Kaufen & Verkaufen
Hot
Kaufen und verkaufen Sie Krypto mit Apple Pay, Karten, Google Pay, Banküberweisung und mehr.
P2P
0 Fees
Zéro frais, +400 options de paiement et une expérience ultra fluide pour acheter et vendre vos cryptos
Gate Card
Krypto Zahlungskarte, die nahtlose globale Transaktionen ermöglicht.
Märkte
Handeln
Basic
Advanced
Futures
Futures
Hunderte von Verträgen in USDT oder BTC abgerechnet
TradFi
Gold
Trade global traditional assets with USDT in one place
Options
Hot
Mit Vanilla-Optionen im europäischen Stil handeln
Einheitliches Konto
Maximieren Sie Ihre Kapitaleffizienz
Futures-Kickoff
Bereiten Sie sich auf Ihren Futures-Handel vor
Futures-Ereignisse
Nehmen Sie an Events teil, um großzügige Belohnungen zu gewinnen
Demo-Handel
Nutzen Sie virtuelle Gelder, um risikofreien Handel zu erleben
Verdienen
Launch
CandyDrop
tag
Sammle Süßigkeiten, um Airdrops zu erhalten
Launchpool
Schnelles Staking, verdienen Sie potenziell neue Token
HODLer Airdrop
Halten Sie GT und erhalten Sie kostenlos massive Airdrops
Launchpad
Seien Sie frühzeitig beim nächsten großen Token-Projekt dabei
Alpha-Punkte
Handeln Sie On-Chain-Assets und genießen Sie Airdrop-Belohnungen!
Punti Futures
Guadagna punti Futures e richiedi le ricompene dell'airdrop
Investition
Community
Quadrat
Teilen Sie Ihren Beitrag und bleiben Sie über Krypto und mehr informiert
Live
moments live
Live-Krypto-Marktanalyse
Chat
Mit Krypto-Tradern chatten
Neues aus
Aktuelles aus dem Krypto-Bereich
Mehr
Werbeaktionen
Andere
TradFi
giveaways
Belohnungs-Hub

CrossCurve gehackt 3 Millionen US-Dollar verdampft! Gefälschte Nachrichten durchbrechen Multi-Chain-Brücke

MarketWhisper
CRV1,04%
WAXL-2,72%
ZRO-2,2%
EYWA-0,31%

CrossCurve遭駭300萬美元

CrossCurve, ein Cross-Chain-Liquiditätsprotokoll, bestätigte am Sonntag einen Angriff mit einer Smart-Contract-Verifikationslücke, die zu einem Verlust von etwa 3.000.000 US-Dollar über mehrere Ketten hinweg führte. Der Angreifer umging die Vertragsverifizierung von ReceiverAxelar, indem er Nachrichten fälschte, ähnlich wie beim Nomad-Hack von 2022. Das Projekt wurde zuvor vom Gründer von Curve Finance investiert und brachte 7.000.000 US-Dollar ein.

CrossCurve bestätigte dringend, dass das Brückennetz angegriffen wurde

CrossCurve veröffentlichte eine dringende Ankündigung auf der X-Plattform: “Unser Bridge-Netzwerk wird derzeit angegriffen, und ein Angreifer hat eine Schwachstelle in einem Smart Contract ausgenutzt. Pausieren Sie alle Interaktionen mit CrossCurve, während die Untersuchung läuft.” Diese kurze Erklärung bestätigte die Bedenken der Gemeinschaft, lieferte jedoch keine offiziellen Daten zu den Details des Angriffs oder dem Ausmaß des Schadens.

Laut Tracking-Daten von Arkham Intelligence ist der Kontostand des PortalV2-Vertrags von CrossCurve von etwa 3.000.000 US-Dollar auf nahezu null um den 31. Januar stark gefallen. Diese vollständige Erschöpfung der Mittel zeigt, dass der Angreifer alle Sicherheitsmechanismen erfolgreich umgangen und fast alle Vermögenswerte im Vertrag übertragen hat. Besorgniserregender ist, dass die Auswirkungen der Schwachstelle nicht auf eine einzelne Blockchain beschränkt sind, sondern mehrere von CrossCurve unterstützte Netzwerke umfassen, was auf ein systemisches Sicherheitsversagen hinweist.

CrossCurve ist als Cross-Chain-Decentralized Exchange (DEX) und Consensus-Bridge-Protokoll positioniert und wird vom CrossCurve-Team in Partnerschaft mit Curve Finance entwickelt. Die Plattform verwendet einen sogenannten “Konsensbrücke”-Mechanismus, um Transaktionen durch mehrere unabhängige Verifikationsprotokolle wie Axelar, LayerZero und ihr eigenes EYWA-Orakelnetzwerk zu leiten, um das Risiko einzelner Fehlerpunkte zu verringern. Dieser Angriff bewies jedoch, dass selbst mit einer Multi-Faktor-Authentifizierungsarchitektur das gesamte System zusammenbrechen kann, solange ein einzelner Vertrag eine fatale Schwachstelle aufweist.

Das Projekt hat zuvor seine Sicherheitsarchitektur als wichtigen Unterscheidungsfaktor im Dokument hervorgehoben und festgestellt, dass “die Wahrscheinlichkeit, dass mehrere Cross-Chain-Protokolle gleichzeitig gehackt werden, nahezu null ist.” Ironischerweise zielte dieser Angriff nicht auf mehrere Cross-Chain-Protokolle ab, sondern umging direkt die eigene Verifikationslogik von CrossCurve, wodurch die Multi-Faktor-Authentifizierungsarchitektur wirkungslos wurde.

Die Gateway-Authentifizierung umgeht die vollständige Auflösung des Exploit-Pfades

Defimon Alerts, eine Blockchain-Sicherheitsagentur, veröffentlichte schnell einen technischen Analysebericht, der die spezifischen Vorgehensweisen der Angreifer offenbarte. Die Kernschwachstelle liegt im ReceiverAxelar-Vertrag von CrossCurve, der für den Empfang von Nachrichten aus dem Axelar-Cross-Chain-Netzwerk verantwortlich ist. Unter normalen Umständen sollten diese Nachrichten einer strengen Gateway-Verifikation unterzogen werden, um sicherzustellen, dass nur legitime Nachrichten, die den Axelar-Netzwerk-Konsens passieren, ausgeführt werden können.

Die Analyse zeigte jedoch einen fatalen Fehler in der expressExecute-Funktion im ReceiverAxelar-Vertrag. Jeder kann die Funktion direkt aufrufen und die gefälschten Cross-Chain-Nachrichtenparameter einreichen, ohne ausreichend Überprüfung der Quelle der Nachricht. Dieses Fehlen ermöglicht es Angreifern, den beabsichtigten Axelar-Gateway-Authentifizierungsprozess zu umgehen und bösartige Anweisungen direkt in den Vertrag einzuschleusen.

Sobald die gefälschte Nachricht von der expressExey-Funktion akzeptiert wird, löst sie die Token-Entsperrungslogik im PortalV2-Vertrag des Protokolls aus. PortalV2 ist CrossCurves Kernverwahrungsvertrag für Vermögenswerte und verantwortlich für das Sperren und Veröffentlichen von Tokens, die über Chains hinweg überbrückt sind. Da der Vertrag den Anweisungen von ReceiverAxelar vertraut, wird PortalV2 bedingungslos ausgeführt und Token übertragen, die nicht an den Angreifer hätten freigegeben werden dürfen, wenn die gefälschte Nachricht anweist: “Der Benutzer hat gesperrte Tokens auf der Quellkette freigegeben, bitte auf der Zielkette”.

Der Angriffsprozess kann auf folgende Schritte vereinfacht werden

· Der Angreifer konstruiert eine gefälschte Cross-Chain-Nachricht, in der er behauptet, eine große Menge an Vermögenswerten auf die Quellkette abgelegt zu haben

· Rufen Sie direkt die expressExecute-Funktion des ReceiverAxelar-Vertrags auf, um eine gefälschte Nachricht weiterzugeben

· Aufgrund fehlender Verifizierungsprüfungen akzeptiert der Vertrag die gefälschte Nachricht und löst das Entsperren von PortalV2 aus

· PortalV2 überträgt Token an die vom Angreifer angegebene Adresse, um den Diebstahl abzuschließen

Das Beängstigende an dieser Angriffsmethode ist ihre Wiederholbarkeit. Sobald die Schwachstelle entdeckt ist, kann der Angreifer wiederholt die expressExehen-Funktion aufrufen und jedes Mal verschiedene Nachrichten fälschen, um verschiedene Token zu extrahieren, bis der PortalV2-Vertrag vollständig erschöpft ist. Nach den Daten von Arkham Intelligence zu urteilen, führten die Angreifer mehrere Transaktionen durch und leerten systematisch alle wichtigen Vermögenswerte im Vertrag.

Eine Wiederholung der Nomaden-Tragödie: Vier Jahre später ist die Schlupfloch immer noch vorhanden

Dieser CrossCurve-Angriff erinnerte Krypto-Sicherheitsexperten im August 2022 an die Nomad-Bridge-Schwachstelle. Zu diesem Zeitpunkt verlor Nomad 190.000.000 Dollar aufgrund eines ähnlichen Verifizierungsumgehungsproblems, und noch erstaunlicher war, dass mehr als 300 Wallet-Adressen an diesem “kollektiven Heist” teilnahmen, da die Schwachstelle so einfach war, dass jeder Geld stehlen konnte, indem er die Angriffstransaktion kopierte und die Empfängeradresse änderte.

Sicherheitsexperte Taylor Monahan war in einem Interview mit The Block darüber schockiert: “Ich kann nicht glauben, dass sich vier Jahre später nichts geändert hat.” Ihre Klage weist auf eine frustrierende Realität in der Kryptobranche hin, in der dieselben Arten von Fehlern wiederholt werden, obwohl jedes Jahr Milliarden von Dollar durch Smart-Contract-Schwachstellen verloren gehen.

Die Schwachstellen von Nomad und CrossCurve sind sich in ihrer Natur sehr ähnlich und resultieren aus unzureichender Überprüfung der Cross-Chain-Nachrichtenquellen. In verteilten Systemen ist die Überprüfung “Wer diese Nachricht gesendet hat” die grundlegendste Sicherheitsanforderung, aber beide Projekte haben in diesem Zusammenhang fatale Fahrlässigkeit begangen. Die Schwachstelle von Nomad besteht darin, die Merkle-Wurzel auf einen Nullwert zu initialisieren, sodass jede Nachricht die Validierung bestehen kann; CrossCurve überspringt direkt den Gateway-Verifizierungsschritt.

Besorgniserregender ist, dass CrossCurve öffentlich die Sicherheitsvorteile seiner Multi-Faktor-Authentifizierungsarchitektur hervorgehoben hat. Das Projekt integriert Axelar-, LayerZero- und EYWA-Dreifachverifikationsmechanismen, die theoretisch sicherer sein sollten als ein einzelnes Verifikationssystem. Dieser Angriff beweist jedoch, dass bei Schwachstellen auf Implementierungsebene, egal wie komplex das architektonische Design ist, er keinen Schutz bieten kann. Der Schlüssel zur Sicherheit ist nicht, wie viele Verifikationsschichten es gibt, sondern ob jede Schicht korrekt implementiert ist.

In den vier Jahren von Nomad bis CrossCurve hat die Kryptoindustrie mehrere Brückenattacken erlebt, darunter Ronins Diebstahl in 625.000.000 Dollar, Wormholes Verlust von 325.000.000 Dollar und mehr. Die gemeinsame Lehre aus diesen Vorfällen ist, dass Cross-Chain-Brücken das verwundbarste Glied im Blockchain-Ökosystem sind, da sie zwischen verschiedenen Sicherheitsmodellen koordinieren müssen und ein Ausfall einer Verbindung katastrophale Folgen haben kann.

Die Unterstützung von Curve Finance und die Vertrauenskrise der Anleger

CrossCurves stolzeste bisherige Unterstützung kam vom Gründer von Curve Finance, Michael Egorov. Im September 2023 wurde Egorov Investor in das Protokoll, was ein großer Vorteil für das EYWA-Protokoll war, das damals gerade umbenannt worden war. Curve Finance, eines der erfolgreichsten Stablecoin-Handelsprotokolle im DeFi-Bereich, hat seinen Gründern CrossCurve einen enormen Glaubwürdigkeitsschub verliehen.

Anschließend gab CrossCurve bekannt, dass es 7.000.000 US-Dollar von Risikokapitalinstitutionen aufgenommen hatte. Obwohl das Projekt die Liste aller Investoren nicht offenlegte, hat Egorovs Teilnahme zweifellos andere Institutionen dazu veranlasst, diesem Beispiel zu folgen. Diese Finanzierung sollte eigentlich für die Entwicklung von Protokollen, Sicherheitsprüfungen und den Ausbau des Ökosystems verwendet werden, doch dieser Verlust von 3.000.000 Dollar machte fast 43 % der Finanzierung aus und war ein schwerer Schlag für die finanzielle Lage des Projekts.

Nach dem Vorfall gab Curve Finance schnell eine Stellungnahme auf der Plattform X heraus und zog eine klare Linie mit CrossCurve: “Nutzer, die Stimmen Eywa-bezogenen Pools zugewiesen haben, müssen ihre Bestände möglicherweise noch einmal überprüfen und erwägen, diese Stimmen zurückzuziehen. Wir ermutigen weiterhin alle Teilnehmer, wachsam zu sein und risikobewusste Entscheidungen bei der Zusammenarbeit mit Projekten Dritter zu treffen.”

Die Formulierung dieser Aussage ist spielerisch. Anstatt den Angriff direkt zu verurteilen oder CrossCurve zu unterstützen, erinnerte Curve Finance die Nutzer daran, “ihre Positionen zu überdenken” und “ihre Stimmen rückgängig zu machen”, was darauf hindeutet, dass das Curve-Team das Vertrauen in die Sicherheit von CrossCurve verloren hat. Der Begriff “Drittanbieterprojekt” legt klar die Grenzen der Verantwortung fest, um Kollateralschäden für Curves eigenen Ruf zu vermeiden.

Für die Investoren und Nutzer von CrossCurve ist dieser Vorfall eine schmerzhafte Lektion. Selbst wenn es die Zustimmung eines bekannten Gründers, eine Finanzierung in Millionenhöhe gibt und behauptet, eine Multi-Sicherheits-Architektur zu übernehmen, kann die Sicherheit des Projekts nicht garantiert werden. In der Kryptowelt ist Code Gesetz, und keine Öffentlichkeit oder kein Versprechen kann mit bewährter Smart-Contract-Sicherheit mithalten.

Original anzeigen
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to Disclaimer.
Kommentieren
0/400
Keine Kommentare
Handeln Sie jederzeit und überall mit Kryptowährungen
qrCode
Scannen, um die Gate App herunterzuladen
Community
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)
    • Über unsKarriereNewsroomSponsor von Oracle Red Bull RacingOffizieller Ärmelsponsor von Inter MailandNutzungsbedingungenRisiko-WarnungDatenschutzrichtlinieCookie-RichtlinieMedien-KitReserven-NachweisLizenzSicherheitGateToken (GT)GUSDGate ChainGate-VeranstaltungenStrafverfolgungGipfelGate Ventures
    P2PKonvertierungs- & BlockhandelSpot-HandelMargeEarn CenterETFFuturesTradFiAktienAlphaNFTGate PayGate LifeGeschenkkarteGate OTCGate CharityGate ShopWeb3Gate Perp DEXGate Vault
    VIP-VorteileInstitutionellBenutzer-FeedbackAnkündigungGebührenHilfezentrumAnfrage sendenAuflistungSmart Contract SicherheitEntwicklerAI Services EcosystemÜberprüfungssucheP2P-Händler-BewerbungAffiliate-ProgrammTradingViewKrypto-KalenderCross-Chain-Lösung
    Gate LearnKryptokurseKryptowährung-GlossarPreise für KryptowährungenBig DataBitcoin HalvingEthereum (ETH) UpgradeKrypto-WikiKrypto-Rechner