CrossCurve оголосив у понеділок, що зазнав великої атаки, втративши 3 мільйони доларів у кількох мережах.
Протокол DeFi зазначив, що в ньому є вразливість розумні контракти були використані, що викликає занепокоєння щодо безпеки міжланцюжкової інфраструктури.
«Наш міст зараз піддається атаці», — написано на X, попереджаючи користувачів призупинити всі взаємодії з CrossCurve.
Недолік розумного контракту: зловмисники використовували підроблені повідомлення
Відповідно до публікації CrossCurve, деякі адреси користувачів отримали символічні кошти через уразливість смарт-контракту, які були «неправомірно відібрані» в інших користувачів.
“Ми не вважаємо, що це було навмисно з вашого боку, і немає ознак зловмисного наміру. Ми сподіваємося на вашу співпрацю у поверненні коштів”, – написала платформа, вказавши загалом 10 адрес.
Згідно з обліковим записом безпеки блокчейну Defimon Alerts, вразливий смарт-контракт CrossCurve ReceiverAxelar дозволяв будь-кому підробити міжланцюгове повідомлення, минаючи перевірку шлюзу. Це спричинило неавторизоване розблокування токенів у контракті PortalV2.
Крім того, Curve Finance написала, що користувачі, які розподілили голоси в пули, пов’язані з платформою, «можуть забажати переглянути свої позиції та розглянути питання про видалення цих голосів».
Протокол підтримується засновником Curve Finance Майклом Єгоровим і залучив 7 мільйонів доларів від венчурних капіталів у 2023 році.
CrossCurve пропонує 10% премії за білий капелюх, встановлює 72-годинний ліміт
Згідно з Політикою відповідального розкриття інформації Safe Harbor, яка детально описує кроки щодо впровадження відповідального звітування про вразливості системи безпеки, якщо хакер, який працює в білих капелюхах, допоможе у відновленні коштів, буде надано винагороду в розмірі 10%.
«Це дає вам право залишити до 10% у разі повернення решти», — зазначила команда проекту.
Крім того, CrossCurve встановив 72-годинний ліміт для хакерів на повернення коштів. Якщо ефективного зв’язку не буде встановлено, команда проекту негайно прийме ескалацію.
Це включає в себе офіційні кримінальні та цивільні процеси, співпрацю з такими біржами, як Coinbase і Binance, емітентами стейблкойнів, правоохоронними органами та мережевими аналітичними компаніями, включаючи Chainalysis, TRM Labs і Elliptic.
Злом CrossCurve схожий на Проект мосту Nomad вартістю 190 мільйонів доларів у 2022 році було скомпрометовано близько 8000 гаманців Solana.
«З точки зору запобігання, галузевий набір стандартних шаблонів смарт-контрактів, які, як відомо, є безпечними, аудит смарт-контрактів і безпечні життєві цикли розробки програмного забезпечення були б кроками в правильному напрямку», — сказав Cryptonews Ендрю Морфілл, директор з інформаційної безпеки Komainu. «У міру розвитку ринку надійно розроблені та оновлені протоколи з реальною корисністю забезпечать довіру та гарантію безпеки, яку шукають інвестори».
Пост Смарт-контракт DeFi Protocol CrossCurve використовувався, втратив 3 мільйони доларів у кількох мережах вперше з’явився на Криптоновини.