Update (Feb. 2, 12:20 am UTC): This article has been updated to add a post by CrossCurve CEO Boris Povar.
Il protocollo crypto CrossCurve ha dichiarato che il suo bridge cross-chain è stato attaccato, con un danno stimato in 3 milioni di dollari su più reti.
CrossCurve ha pubblicato domenica sera su X che il suo bridge era “sotto attacco, con lo sfruttamento di una vulnerabilità in uno degli smart contract utilizzati”.
“Si prega di sospendere tutte le interazioni con CrossCurve mentre sono in corso le indagini”, ha aggiunto.
Defimon Alerts, un account X collegato alla società di sicurezza blockchain Decurity, ha riferito che CrossCurve è stato sfruttato per circa 3 milioni di dollari “su diverse reti”.
Ha aggiunto che uno degli smart contract di CrossCurve consentiva a chiunque di falsificare un messaggio per aggirare la convalida e sbloccare i token.
“Chiunque poteva chiamare expressExecute sul contratto ReceiverAxelar con un messaggio cross-chain falsificato, aggirando la convalida del gateway e attivando lo sblocco su PortalV2”, ha affermato Defimon Alerts.
Curve Finance, che ha stretto una partnership con CrossCurve, ha pubblicato su X che gli utenti che hanno allocato risorse nei pool CrossCurve “potrebbero voler rivedere le loro posizioni e considerare la possibilità di rimuovere tali voti”.
“Continuiamo a incoraggiare tutti i partecipanti a rimanere vigili e a prendere decisioni consapevoli dei rischi quando interagiscono con progetti di terze parti”, ha aggiunto.
CrossCurve offre ricompensa del 10% se i fondi vengono restituiti entro 72 ore
Nel tentativo di contattare l'autore dell'attacco, il CEO di CrossCurve Boris Povar ha condiviso 10 indirizzi che, secondo lui, avevano ricevuto token dall'exploit e ha offerto una ricompensa per la loro restituzione entro 72 ore.
“Questi token sono stati sottratti indebitamente agli utenti a causa di un exploit dello smart contract. Non crediamo che si sia trattato di un atto intenzionale da parte vostra e non vi sono indicazioni di dolo”, ha affermato. “Ci auguriamo che collaborerete alla restituzione dei fondi”.
Povar ha offerto una ricompensa fino al 10% se i fondi fossero stati restituiti entro 72 ore dall'attacco.
“Se i fondi non saranno restituiti o non verrà stabilito alcun contatto entro 72 ore, dovremo presumere che vi sia un intento doloso e trattare la questione come un caso giudiziario”, ha aggiunto.
Povar ha dichiarato che CrossCurve era pronta a collaborare con le forze dell'ordine, intentare cause civili per recuperare i danni e coordinarsi con le autorità e altri progetti di criptovaluta per congelare i beni se i fondi non fossero stati restituiti.
