CrossCurve ถูกแฮก สูญเสีย 3 ล้านดอลลาร์สหรัฐ! ข้อความปลอมโจมตีสะพานเชื่อมหลายสายโซ่

CrossCurve ซึ่งเป็นโปรโตคอลสภาพคล่องข้ามสายโซ่ ได้ยืนยันการโจมตีเมื่อวันอาทิตย์ โดยมีช่องโหว่ในการตรวจสอบสัญญาอัจฉริยะส่งผลให้สูญเสียประมาณ 3,000,000 ดอลลาร์ในหลายเชน ผู้โจมตีเลี่ยงการตรวจสอบสัญญา ReceiverAxelar โดยการปลอมแปลงข้อความ คล้ายกับการแฮ็ก Nomad ในปี 2022 ก่อนหน้านี้โครงการนี้ลงทุนโดยผู้ก่อตั้ง Curve Finance และระดมทุนได้ 7,000,000 ดอลลาร์

CrossCurve ยืนยันอย่างเร่งด่วนว่าเครือข่ายบริดจ์ถูกโจมตี

CrossCurve ออกประกาศเร่งด่วนบนแพลตฟอร์ม X: “เครือข่ายบริดจ์ของเรากําลังถูกโจมตี และผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ในสัญญาอัจฉริยะ หยุดการโต้ตอบทั้งหมดกับ CrossCurve ชั่วคราวในขณะที่การสืบสวนกําลังดําเนินอยู่” แถลงการณ์สั้น ๆ นี้ยืนยันความกังวลของชุมชน แต่ไม่ได้ให้ข้อมูลอย่างเป็นทางการเกี่ยวกับรายละเอียดของการโจมตีหรือขนาดของความเสียหาย

จากข้อมูลการติดตามของ Arkham Intelligence ยอดคงเหลือในสัญญา PortalV2 ของ CrossCurve ลดลงอย่างรวดเร็วจากประมาณ 3,000,000 ดอลลาร์เป็นเกือบศูนย์ประมาณวันที่ 31 มกราคม การหมดเงินอย่างสมบูรณ์นี้บ่งชี้ว่าผู้โจมตีได้ข้ามกลไกความปลอดภัยทั้งหมดและโอนทรัพย์สินเกือบทั้งหมดในสัญญาได้สําเร็จ ที่น่าเป็นห่วงกว่านั้นคือผลกระทบของช่องโหว่ไม่ได้จํากัดอยู่แค่บล็อกเชนเดียว แต่ครอบคลุมหลายเครือข่ายที่รองรับโดย CrossCurve ซึ่งบ่งชี้ถึงความล้มเหลวด้านความปลอดภัยของระบบ

CrossCurve อยู่ในตําแหน่งเป็นการแลกเปลี่ยนแบบกระจายอํานาจข้ามสายโซ่ (DEX) และโปรโตคอลบริดจ์ฉันทามติ CrossCurve สร้างขึ้นโดยทีม CrossCurve ร่วมกับ Curve Finance แพลตฟอร์มนี้ใช้กลไกที่เรียกว่า “สะพานฉันทามติ” เพื่อกําหนดเส้นทางธุรกรรมผ่านโปรโตคอลการตรวจสอบอิสระหลายตัว เช่น Axelar, LayerZero และเครือข่าย EYWA oracle ของตัวเอง โดยมีเป้าหมายเพื่อลดความเสี่ยงของความล้มเหลวเพียงจุดเดียว อย่างไรก็ตามการโจมตีนี้พิสูจน์ให้เห็นว่าแม้จะมีสถาปัตยกรรมการรับรองความถูกต้องแบบหลายปัจจัยตราบใดที่สัญญาเดียวมีช่องโหว่ร้ายแรงระบบทั้งหมดก็ยังสามารถล่มสลายได้

ก่อนหน้านี้โครงการได้เน้นย้ําถึงสถาปัตยกรรมความปลอดภัยว่าเป็นตัวสร้างความแตกต่างที่สําคัญในเอกสาร โดยตั้งข้อสังเกตว่า “ความน่าจะเป็นที่โปรโตคอลข้ามเชนหลายตัวจะถูกแฮ็กในเวลาเดียวกันนั้นแทบจะเป็นศูนย์” น่าแปลกที่การโจมตีนี้ไม่ได้กําหนดเป้าหมายไปที่โปรโตคอลข้ามสายโซ่หลายตัว แต่ข้ามตรรกะการตรวจสอบของ CrossCurve โดยตรง ทําให้สถาปัตยกรรมการรับรองความถูกต้องแบบหลายปัจจัยไม่ได้ผล

การรับรองความถูกต้องของเกตเวย์ข้ามการแก้ปัญหาเต็มของเส้นทางการหาประโยชน์

Defimon Alerts หน่วยงานรักษาความปลอดภัยบล็อกเชนได้เผยแพร่รายงานการวิเคราะห์ทางเทคนิคอย่างรวดเร็วซึ่งเปิดเผยวิธีการทํางานเฉพาะของผู้โจมตี ช่องโหว่หลักอยู่ในสัญญา ReceiverAxelar ของ CrossCurve ซึ่งมีหน้าที่รับข้อความจากเครือข่าย Axelar cross-chain ภายใต้สถานการณ์ปกติ ข้อความเหล่านี้ควรผ่านการตรวจสอบเกตเวย์อย่างเข้มงวดเพื่อให้แน่ใจว่าสามารถดําเนินการได้เฉพาะข้อความที่ถูกต้องตามกฎหมายที่ผ่านฉันทามติของเครือข่าย Axelar เท่านั้น

อย่างไรก็ตาม การวิเคราะห์เผยให้เห็นข้อบกพร่องร้ายแรงในฟังก์ชัน expressExecute ในสัญญา ReceiverAxelar ทุกคนสามารถเรียกใช้ฟังก์ชันได้โดยตรงและส่งพารามิเตอร์ข้อความข้ามสายโซ่ปลอมโดยไม่ต้องตรวจสอบแหล่งที่มาของข้อความอย่างเพียงพอ การขาดหายไปนี้ทําให้ผู้โจมตีสามารถเลี่ยงกระบวนการตรวจสอบความถูกต้องของเกตเวย์ Axelar ที่ตั้งใจไว้และแทรกคําสั่งที่เป็นอันตรายลงในสัญญาได้โดยตรง

เมื่อข้อความปลอมได้รับการยอมรับโดยฟังก์ชัน expressExecute มันจะทริกเกอร์ตรรกะการปลดล็อกโทเค็นในสัญญา PortalV2 ของโปรโตคอล PortalV2 เป็นสัญญาการดูแลสินทรัพย์หลักของ CrossCurve ซึ่งรับผิดชอบในการล็อคและปล่อยโทเค็นที่เชื่อมโยงข้ามเชน เนื่องจากสัญญาเชื่อถือคําสั่งจาก ReceiverAxelar เมื่อข้อความปลอมแปลงสั่งว่า “ผู้ใช้ได้ล็อคโทเค็นบนเชนต้นทาง โปรดปล่อยโทเค็นเหล่านั้นบนเชนเป้าหมาย” PortalV2 จะดําเนินการโดยไม่มีเงื่อนไข โดยถ่ายโอนโทเค็นที่ไม่ควรปล่อยไปยังผู้โจมตี

กระบวนการโจมตีสามารถทําให้ง่ายขึ้นเป็นขั้นตอนต่อไปนี้

· ผู้โจมตีสร้างข้อความข้ามสายโซ่ปลอมโดยอ้างว่าได้ฝากสินทรัพย์จํานวนมากไว้ในเชนต้นทาง

· เรียกฟังก์ชัน expressExecute ของสัญญา ReceiverAxelar โดยตรงเพื่อส่งข้อความปลอม

· เนื่องจากไม่มีการตรวจสอบยืนยัน สัญญาจึงยอมรับข้อความปลอมและทริกเกอร์การปลดล็อก PortalV2

· PortalV2 ถ่ายโอนโทเค็นไปยังที่อยู่ที่ระบุโดยผู้โจมตีเพื่อทําการโจรกรรมให้เสร็จสมบูรณ์

สิ่งที่น่ากลัวเกี่ยวกับวิธีการโจมตีนี้คือความสามารถในการทําซ้ํา เมื่อพบช่องโหว่แล้ว ผู้โจมตีสามารถเรียกใช้ฟังก์ชัน expressExecute ซ้ําๆ โดยปลอมแปลงข้อความที่แตกต่างกันในแต่ละครั้งเพื่อแยกโทเค็นที่แตกต่างกันจนกว่าสัญญา PortalV2 จะหมดลง เมื่อพิจารณาจากข้อมูลของ Arkham Intelligence ผู้โจมตีได้ทําธุรกรรมหลายรายการ โดยล้างทรัพย์สินหลักทั้งหมดในสัญญาอย่างเป็นระบบ

โศกนาฏกรรมเร่ร่อนซ้ํารอย: สี่ปีต่อมาช่องโหว่ยังคงอยู่ที่นั่น

การโจมตี CrossCurve นี้เตือนผู้เชี่ยวชาญด้านความปลอดภัยของคริปโตถึงช่องโหว่ของสะพาน Nomad ในเดือนสิงหาคม 2022 ในขณะนั้น Nomad สูญเสียเงินไป 190,000,000 ดอลลาร์เนื่องจากปัญหาการบายพาสการตรวจสอบที่คล้ายคลึงกัน และที่น่าอัศจรรย์ยิ่งกว่านั้นคือที่อยู่กระเป๋าเงินมากกว่า 300 แห่งเข้าร่วมใน “การปล้นโดยรวม” นี้ เนื่องจากช่องโหว่นั้นง่ายมากจนทุกคนสามารถขโมยเงินได้โดยเพียงแค่คัดลอกธุรกรรมการโจมตีและแก้ไขที่อยู่ผู้รับ

ผู้เชี่ยวชาญด้านความปลอดภัย Taylor Monahan ตกใจกับเรื่องนี้ในการให้สัมภาษณ์กับ The Block: “ฉันไม่อยากจะเชื่อเลยว่าสี่ปีต่อมาไม่มีอะไรเปลี่ยนแปลง” ความคร่ําครวญของเธอชี้ให้เห็นถึงความเป็นจริงที่น่าผิดหวังในอุตสาหกรรมคริปโต ซึ่งความผิดพลาดประเภทเดียวกันเกิดขึ้นซ้ําแล้วซ้ําเล่าแม้จะสูญเสียเงินหลายพันล้านดอลลาร์ในแต่ละปีเนื่องจากช่องโหว่ของสัญญาอัจฉริยะ

ช่องโหว่ของ Nomad และ CrossCurve มีลักษณะคล้ายคลึงกันอย่างมาก ซึ่งเกิดจากการตรวจสอบแหล่งที่มาของข้อความข้ามสายโซ่ไม่เพียงพอ ในระบบแบบกระจายการตรวจสอบว่า “ใครส่งข้อความนี้” เป็นข้อกําหนดด้านความปลอดภัยขั้นพื้นฐานที่สุด แต่ทั้งสองโครงการได้ทําความประมาทเลินเล่อร้ายแรงในลิงก์นี้ ช่องโหว่ของ Nomad คือการเริ่มต้นรูท Merkle เป็นค่าศูนย์ ทําให้ข้อความใดๆ ผ่านการตรวจสอบความถูกต้อง CrossCurve ข้ามขั้นตอนการตรวจสอบเกตเวย์โดยตรง

ที่น่าเป็นห่วงกว่านั้น CrossCurve ได้กล่าวถึงประโยชน์ด้านความปลอดภัยของสถาปัตยกรรมการรับรองความถูกต้องแบบหลายปัจจัยต่อสาธารณะ โครงการนี้รวมกลไกการตรวจสอบสามชั้นของ Axelar, LayerZero และ EYWA ซึ่งในทางทฤษฎีควรมีความปลอดภัยมากกว่ารูปแบบการตรวจสอบเดียว อย่างไรก็ตามการโจมตีนี้พิสูจน์ให้เห็นว่าเมื่อมีช่องโหว่ในระดับการใช้งานไม่ว่าการออกแบบสถาปัตยกรรมจะซับซ้อนเพียงใดก็ไม่สามารถให้การป้องกันได้ กุญแจสําคัญในการรักษาความปลอดภัยไม่ใช่ว่ามีการตรวจสอบกี่ชั้น แต่แต่ละชั้นถูกนําไปใช้อย่างถูกต้องหรือไม่

ในช่วงสี่ปีจาก Nomad ถึง CrossCurve อุตสาหกรรมคริปโตได้ประสบกับการโจมตีแบบเชื่อมโยงหลายครั้ง รวมถึงการโจรกรรม 625,000,000 ดอลลาร์ของ Ronin การสูญเสีย 325,000,000 ดอลลาร์ของ Wormhole และอื่นๆ บทเรียนทั่วไปจากเหตุการณ์เหล่านี้คือสะพานข้ามเชนเป็นลิงก์ที่เปราะบางที่สุดในระบบนิเวศของบล็อกเชน เนื่องจากต้องประสานงานระหว่างโมเดลความปลอดภัยต่างๆ และความล้มเหลวของลิงก์ใดๆ อาจนําไปสู่ผลร้ายแรง

การรับรองของ Curve Finance และวิกฤตความเชื่อมั่นของนักลงทุน

การรับรองก่อนหน้านี้ที่น่าภาคภูมิใจที่สุดของ CrossCurve มาจาก Michael Egorov ผู้ก่อตั้ง Curve Finance ในเดือนกันยายน พ.ศ. 2023 Egorov กลายเป็นนักลงทุนในโปรโตคอล ซึ่งเป็นผลดีที่สําคัญสําหรับ EYWA Protocol ซึ่งเพิ่งรีแบรนด์ในขณะนั้น Curve Finance ซึ่งเป็นหนึ่งในโปรโตคอลการซื้อขาย Stablecoin ที่ประสบความสําเร็จมากที่สุดในพื้นที่ DeFi ได้เห็นผู้ก่อตั้งเพิ่มความน่าเชื่อถือให้กับ CrossCurve อย่างมาก

ต่อจากนั้น CrossCurve ประกาศว่าได้ระดมทุนได้ 7,000,000 ดอลลาร์จากสถาบันร่วมทุน แม้ว่าโครงการจะไม่ได้เปิดเผยรายชื่อนักลงทุนทั้งหมด แต่การมีส่วนร่วมของ Egorov ได้ดึงดูดสถาบันอื่นๆ ให้ทําตามอย่างไม่ต้องสงสัย เงินทุนนี้ควรจะใช้สําหรับการพัฒนาโปรโตคอล การตรวจสอบความปลอดภัย และการขยายระบบนิเวศ อย่างไรก็ตาม การสูญเสีย 3,000,000 ดอลลาร์นี้เกือบ 43% ของเงินทุน ซึ่งส่งผลกระทบอย่างรุนแรงต่อสถานะทางการเงินของโครงการ

หลังจากเหตุการณ์ดังกล่าว Curve Finance ได้ออกแถลงการณ์อย่างรวดเร็วบนแพลตฟอร์ม X โดยวาดเส้นที่ชัดเจนกับ CrossCurve: “ผู้ใช้ที่จัดสรรคะแนนโหวตให้กับพูลที่เกี่ยวข้องกับ Eywa อาจต้องทบทวนการถือครองของตนอีกครั้งและพิจารณาเพิกถอนการโหวตเหล่านั้น เรายังคงสนับสนุนให้ผู้เข้าร่วมทุกคนระมัดระวังและตัดสินใจโดยคํานึงถึงความเสี่ยงเมื่อมีปฏิสัมพันธ์กับโครงการของบุคคลที่สาม”

ถ้อยคําของข้อความนี้ขี้เล่น แทนที่จะประณามการโจมตีโดยตรงหรือแสดงการสนับสนุน CrossCurve Curve Finance เตือนผู้ใช้ให้ “ทบทวนตําแหน่งของตน” และ “เลิกทําการโหวต” ซึ่งบ่งชี้ว่าทีม Curve สูญเสียความเชื่อมั่นในความปลอดภัยของ CrossCurve คําว่า “โครงการของบุคคลที่สาม” กําหนดขอบเขตความรับผิดชอบอย่างชัดเจนเพื่อหลีกเลี่ยงความเสียหายหลักประกันต่อชื่อเสียงของ Curve เอง

สําหรับนักลงทุนและผู้ใช้ของ CrossCurve เหตุการณ์นี้เป็นบทเรียนที่เจ็บปวด แม้ว่าจะได้รับการรับรองจากผู้ก่อตั้งที่มีชื่อเสียง เงินทุนหลายล้านดอลลาร์ และอ้างว่าใช้สถาปัตยกรรมความปลอดภัยหลายแบบ แต่ก็ไม่สามารถรับประกันความปลอดภัยของโครงการได้ ในโลกของคริปโต รหัสคือกฎหมาย และไม่มีการประชาสัมพันธ์และคํามั่นสัญญาใดที่สามารถเทียบได้กับความปลอดภัยของสัญญาอัจฉริยะที่ผ่านการทดสอบการต่อสู้