Tóm tắt
- CrossCurve cho biết vào Chủ nhật rằng một hacker đã khai thác lỗ hổng trong các hợp đồng cầu nối của họ và xác định 10 địa chỉ Ethereum đã nhận được số tiền này.
- Giám đốc điều hành của họ, Boris Povar, cho biết nhóm của họ sẽ theo đuổi các hành động pháp lý và cưỡng chế nếu số tiền không được hoàn trả trong vòng 72 giờ.
- Các công ty an ninh ước tính thiệt hại khoảng 3 triệu đô la trên nhiều chuỗi khối, mặc dù CrossCurve vẫn chưa xác nhận con số đó.
Giao thức tài chính phi tập trung CrossCurve, trước đây gọi là EYWA, cho biết đã công khai xác định mười địa chỉ Ethereum liên quan đến vụ hack hệ thống chuyển token của họ vào Chủ nhật.
CrossCurve tiết lộ vào chiều Chủ nhật rằng một hacker đã khai thác lỗ hổng “liên quan đến việc khai thác một lỗ hổng trong một trong các hợp đồng thông minh” được sử dụng cho cầu nối chuỗi chéo của họ, một hệ thống cho phép người dùng chuyển token giữa các chuỗi khối khác nhau.
Vài giờ sau, Giám đốc điều hành Boris Povar của CrossCurve cho biết nhóm đã xác định được mười địa chỉ Ethereum đã nhận số tiền liên quan.
“Những token này đã bị lấy trái phép từ người dùng do một cuộc khai thác hợp đồng thông minh,” Povar nói. “Chúng tôi không tin rằng điều này là cố ý từ phía bạn, và không có dấu hiệu của ý định ác ý.”
Povar cảnh báo rằng nếu số tiền không được hoàn trả hoặc không có liên lạc nào được thiết lập trong vòng 72 giờ, nhóm của họ sẽ “giả định ý định xấu và xử lý vụ việc như một vấn đề pháp lý.”
Việc không hoàn trả số tiền sẽ kích hoạt các biện pháp leo thang ngay lập tức, bao gồm chuyển vụ việc đến cơ quan pháp luật, kiện tụng dân sự, phối hợp với các sàn giao dịch và nhà phát hành để phong tỏa tài sản, công khai dữ liệu ví và giao dịch, cũng như hợp tác với cơ quan thực thi pháp luật và các công ty phân tích chuỗi khối, Povar bổ sung.
Hợp đồng thông minh là một chương trình chạy trên blockchain và tự động thực hiện các giao dịch theo các quy tắc đã định sẵn.
Defimon Alerts, một tài khoản mạng xã hội do công ty an ninh blockchain Decurity điều hành, đã đưa ra ước tính ban đầu rằng vụ khai thác gây thiệt hại khoảng 3 triệu đô la trên “một số mạng lưới,” đồng thời cho biết lỗ hổng cho phép hacker gửi một tin nhắn chuỗi chéo giả mạo trên hợp đồng thông minh của CrossCurve, bỏ qua các kiểm tra và khiến cầu nối phát hành tiền.
Trong khi đó, công ty an ninh blockchain BlockSec ước tính tổng thiệt hại khoảng 2,76 triệu đô la, trong đó khoảng 1,3 triệu đô la trên Ethereum và khoảng 1,28 triệu đô la trên Arbitrum, cùng với một số chuỗi khác như Optimism, Base, Mantle, Kava, Frax, Celo và Blast.
CrossCurve chưa công bố xác nhận chính thức về ước tính thiệt hại do các công ty an ninh đưa ra, và cũng chưa chia sẻ con số của riêng họ về số tiền bị ảnh hưởng. Decrypt đã liên hệ với CrossCurve để lấy ý kiến.
Vụ khai thác bắt nguồn từ “thiếu xác thực,” nhóm tại BlockSec cho biết với Decrypt.
“Các tin nhắn chuỗi chéo cần được xác thực nhưng không được xác minh, khiến hợp đồng chuỗi đích tin rằng tin nhắn phản ánh một giao dịch thực sự được khởi tạo trên chuỗi nguồn và phát hành các tài sản tương ứng dựa trên dữ liệu payload do hacker giả mạo,” BlockSec nói.
Vụ việc cho thấy rằng “bảo mật chuỗi chéo vẫn còn quá phụ thuộc vào một đường xác thực duy nhất,” BlockSec bổ sung. “Nếu bất kỳ đường thực thi thay thế nào bỏ qua kiểm tra đó, toàn bộ mô hình tin cậy sẽ sụp đổ.”
“Vụ khai thác này không phải là thất bại của giao thức cốt lõi của Axelar; đó là thất bại phía bên nhận,” Dan Dadybayo, trưởng nhóm nghiên cứu và chiến lược tại Unstoppable Wallet, nói với Decrypt. “Hợp đồng ReceiverAxelar tùy chỉnh của CrossCurve đã thực thi các tin nhắn chuỗi chéo mà không xác thực đủ trước.”
Dadybayo cho biết mô hình này đã từng xuất hiện trong các vụ như vụ hack của Nomad năm 2022.
“Phần khó của bảo mật cầu nối không phải là lớp tin nhắn, mà là đảm bảo rằng không có gì xảy ra cho đến khi tính xác thực được chứng minh hoàn toàn,” ông nói thêm. “Các bộ nhận tùy chỉnh vẫn là mắt xích yếu nhất. Miễn là các cầu nối tập trung thanh khoản và dựa vào logic xác thực tùy chỉnh, chúng sẽ tiếp tục là bề mặt rủi ro cao nhất trong DeFi.”
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
