Admin
Администратор
ИИ съел всю память. Qualcomm объясняет, почему ваш новый телефон будет стоить как крыло самолёта.
Ставки настолько высоки, что прежние правила игры больше не работают.
Децентрализованный финансовый протокол CrossCurve, ранее известный под названием EYWA, сообщил о серьёзной уязвимости в смарт-контракте, отвечающем за кроссчейн-переводы. В результате атаки злоумышленник смог перевести активы пользователей на несколько сторонних адресов.
Инцидент произошёл в воскресенье. По словам команды проекта, эксплойт был связан с ошибкой в логике смарт-контракта, которая позволила обойти механизм проверки сообщений между блокчейнами. Через несколько часов после обнаружения атаки генеральный директор CrossCurve Борис Повар уточнил, что удалось выявить десять Ethereum-адресов, на которые были выведены активы.
По словам Повара, средства были изъяты не по вине пользователей, а из-за уязвимости, и у команды нет оснований считать, что действия обладателей указанных адресов были изначально злонамеренными. Однако он подчеркнул, что в случае отсутствия обратной связи или возврата средств в течение 72 часов команда будет расценивать ситуацию как преднамеренную и передаст дело в юридическую плоскость.
В числе возможных мер названы обращение в правоохранительные органы, подача гражданских исков, взаимодействие с криптовалютными биржами для заморозки активов, публикация данных о кошельках и транзакциях, а также сотрудничество с аналитическими блокчейн-компаниями.
Оценки ущерба пока различаются. По данным проекта Defimon Alerts, связанного с компанией Decurity, сумма потерь составляет около $3 млн. Отмечается, что атакующий воспользовался уязвимостью в логике моста и отправил фиктивное сообщение, которое было принято как подлинное. Это привело к разблокировке активов.
Компания BlockSec оценила общие потери в $2,76 млн. Из этой суммы $1,3 млн приходится на сеть Ethereum, $1,28 млн — на Arbitrum. Кроме того, затронуты другие блокчейны, включая Optimism, Base, Mantle, Kava, Frax, Celo и Blast. По мнению специалистов, корень проблемы — отсутствие должной проверки сообщений, что позволило обработать поддельные транзакции.
Аналитики подчёркивают, что безопасность кроссчейн-соединений по-прежнему зависит от одного канала верификации. В случае его обхода вся модель доверия разрушается. Проблема возникла не в основном протоколе Axelar, а на стороне приёма сообщений, где CrossCurve использовал собственную реализацию без достаточной проверки подлинности данных.
Схожий подход уже становился причиной атак — в частности, во взломе протокола Nomad в 2022 году. Аналитики напоминают, что наибольшую угрозу для мостов представляют кастомные компоненты и отсутствие строгой проверки достоверности, особенно при высокой концентрации ликвидности.
