CrossCurveは、$3M のクロスチェーンブリッジの脆弱性を悪用した攻撃に対し、法的措置を検討しています。

要点

• CrossCurveは日曜日に、攻撃者がそのブリッジコントラクトの欠陥を悪用し、資金を受け取った10のEthereumアドレスを特定したと発表しました。
• CEOのボリス・ポヴァルは、資金が72時間以内に返還されない場合、法的措置および執行措置を取ると述べました。
• セキュリティ企業は、複数のブロックチェーンにわたる損失額を約300万ドルと推定していますが、CrossCurveはまだその数字を確認していません。

分散型金融プロトコルのCrossCurve（旧称EYWA）は、日曜日に同社のトークン移転システムのハッキングに関連する10のEthereumアドレスを公開で特定したと発表しました。 CrossCurveは日曜日の午後に、攻撃者が「スマートコントラクトの脆弱性を悪用した」欠陥を利用したと明らかにしました。これは、ユーザーが異なるブロックチェーン間でトークンを移動できるクロスチェーンブリッジのシステムです。 数時間後、CrossCurveのCEOボリス・ポヴァルは、チームが資金を受け取った10のEthereumアドレスを特定したと述べました。 「これらのトークンは、スマートコントラクトの悪用により不正に取得されました」とポヴァルは言います。「私たちはこれが意図的なものではないと考えており、悪意のある意図の兆候はありません。」

 ポヴァルは、資金が返還されないか、72時間以内に連絡が取れない場合、チームは「悪意のある意図を想定し、司法的な問題として扱う」と警告しました。 資金の返還に失敗した場合、直ちにエスカレーションが行われ、刑事通報、民事訴訟、取引所や発行者との連携による資産凍結、ウォレットや取引データの公開、法執行機関やブロックチェーン分析企業との協力が含まれますとポヴァルは付け加えました。 スマートコントラクトは、ブロックチェーン上で動作し、あらかじめ定められたルールに従って自動的に取引を実行するプログラムです。

Decurityが運営するソーシャルアカウントのDefimon Alertsは、最初の推定として、今回の悪用により「複数のネットワーク」にわたって約300万ドルの損失が生じたとし、欠陥により攻撃者がCrossCurveのスマートコントラクトに偽のクロスチェーンメッセージを送信し、チェックを回避してブリッジが資金を解放したと付け加えました。 一方、ブロックチェーンセキュリティ企業のBlockSecは、総損失額を約276万ドルと推定し、その内訳はEthereumで約130万ドル、Arbitrumで約128万ドルを含み、他にもOptimism、Base、Mantle、Kava、Frax、Celo、Blastなど複数のチェーンが含まれます。 CrossCurveは、セキュリティ企業が示した損失推定値を公表しておらず、自社の被害額も共有していません。_Decrypt_はCrossCurveにコメントを求めています。 この悪用は、「検証不足」に起因すると、BlockSecのチームは_Decrypt_に語っています。 「検証されるべきクロスチェーンメッセージが検証されておらず、宛先チェーンのコントラクトがメッセージが発信元チェーンで開始された正当な取引であると誤認し、攻撃者が偽造したペイロードデータに基づいて資産を解放したのです」とBlockSecは述べています。 この事件は、「クロスチェーンのセキュリティは依然として単一の検証経路に過度に依存している」ことを示しています。「もしも他の実行経路がその検証を回避すれば、信頼モデル全体が崩壊します。」 Unstoppable Walletのリサーチおよび戦略リードのダン・ダディバヨは、_Decrypt_に対し、「この悪用はAxelarのコアプロトコルの失敗ではなく、受信側の失敗だった」と述べました。「CrossCurveのカスタムReceiverAxelarコントラクトは、十分な認証を行わずにクロスチェーンメッセージを実行しました。」 ダディバヨは、これまでにNomadの2022年のハッキングのようなケースでこのパターンが見られたと述べています。

「ブリッジのセキュリティの難しさはメッセージ層ではなく、完全に真正性が証明されるまで何も起こらないことを保証することです」と彼は付け加えました。「カスタムレシーバーは最も弱い部分のままです。ブリッジが流動性を集中させ、特注の検証ロジックに依存している限り、DeFiにおける最もリスクの高い表面となり続けるでしょう。」