L'attaque de 3 millions de dollars sur le pont cross-chain de CrossCurve : comment contourner la vérification de sécurité via de fausses informations

Dimanche, le projet DeFi CrossCurve (anciennement EYWA) a été victime d’un incident de sécurité majeur. L’équipe officielle a découvert une faille grave dans leur mécanisme de transfert d’actifs inter-chaînes, entraînant le détournement illégal d’environ 3 millions de dollars. Selon les analyses de BlockSec et d’autres sociétés de sécurité, cet incident met à nouveau en lumière les risques systémiques liés à la sécurité des ponts inter-chaînes.

L’équipe de CrossCurve a ensuite verrouillé dix adresses de portefeuilles Ethereum, qui ont reçu les fonds volés. Dans une déclaration, le PDG de CrossCurve, Борис Повар, a indiqué que les premières preuves ne montraient pas que les destinataires aient participé intentionnellement à une activité malveillante, mais a fixé un délai de 72 heures. Si les fonds ne sont pas restitués ou si les destinataires ne prennent pas contact, CrossCurve prévoit d’intensifier sa réponse, notamment en signalant l’incident aux autorités, en gelant les actifs sur les échanges, en divulguant publiquement les adresses de portefeuille, et en collaborant avec des sociétés d’analyse blockchain pour suivre la traçabilité des fonds.

Décryptage de la méthode d’attaque : comment une fausse communication inter-chaînes a trompé la vérification

L’aspect technique central de cette attaque réside dans la contournement du processus de vérification. Les attaquants ont réussi à envoyer de faux messages de communication inter-chaînes à l’intelligent contract de CrossCurve. Ces instructions frauduleuses auraient dû être détectées et rejetées par le système, mais en raison d’une logique de validation insuffisante, le contrat a interprété ces données trompeuses comme légitimes, puis a effectué des retraits non autorisés.

BlockSec, dans son rapport d’analyse, souligne que la cause principale est une « faiblesse grave du mécanisme de validation ». Les messages inter-chaînes doivent passer par une vérification d’identité avant d’être exécutés, mais dans l’architecture de CrossCurve, ces contrôles essentiels n’ont pas été correctement mis en œuvre, ce qui a permis au contrat de recevoir des données non vérifiées.

Perte multi-chaînes et répartition des fonds

Concernant l’ampleur des pertes, les estimations varient. Defimons (compte de surveillance de sécurité exploité par l’équipe Decurity) évalue la perte totale à 3 millions de dollars, couvrant plusieurs réseaux blockchain. BlockSec fournit une répartition plus détaillée : environ 1,3 million de dollars sur Ethereum, 1,28 million sur Arbitrum, et environ 180 000 dollars répartis sur des blockchains émergentes telles qu’Optimism, Base, Mantle, Kava, Frax, Celo et Blast.

CrossCurve n’a pas encore confirmé le montant total des pertes ni répondu aux estimations des sociétés de sécurité. Cette incohérence souligne la difficulté à établir une statistique précise des pertes inter-chaînes dans l’écosystème.

La faille fondamentale : une faiblesse critique dans un point de validation unique

Dano Dadybayo, responsable de la recherche et de la stratégie chez Unstoppable Wallet, a fourni une analyse technique approfondie. Il indique que le protocole Axelar utilisé par CrossCurve n’est pas en cause, mais que la véritable vulnérabilité réside dans le contrat ReceiverAxelar, développé en interne par CrossCurve. Ce contrat personnalisé de réception de messages ne disposait pas d’un mécanisme d’authentification suffisant lors du traitement des communications inter-chaînes.

Dadybayo insiste sur le fait que le défi principal pour la sécurité des ponts inter-chaînes ne réside pas dans la couche de transmission des messages, mais dans la garantie qu’aucune voie d’exécution ne puisse contourner la vérification d’identité. Si une telle voie existe, la confiance dans le système s’effondre.

Il cite l’attaque du pont Nomad en 2022 comme exemple : dans cet incident, les attaquants ont exploité une faille de vérification pour causer une perte d’environ 190 millions de dollars. Cela montre que des méthodes similaires ont déjà été utilisées dans l’industrie, et que certains projets continuent de commettre les mêmes erreurs lors de la conception de leurs contrats.

Les enjeux de sécurité dans l’écosystème inter-chaînes et les leçons de prévention

Le consensus dans l’industrie est que le problème fondamental des ponts inter-chaînes réside dans leur structure de liquidité centralisée et dans la logique de validation fragmentée des projets. Tant que la confiance centrale est confiée à un seul processus de validation, toute faille dans ce processus peut rendre le système vulnérable.

Pour les utilisateurs, il est conseillé de :

• Faire preuve de prudence lors de l’utilisation de ponts inter-chaînes, en particulier pour les nouveaux ou peu connus
• Vérifier les audits de sécurité du projet avant utilisation, en privilégiant ceux ayant été audités par des sociétés reconnues
• Diversifier les risques en évitant de transférer de gros montants en une seule opération
• Surveiller en temps réel les alertes de sécurité sur des plateformes de monitoring

L’incident de CrossCurve démontre une fois de plus que même dans un écosystème DeFi apparemment mature, des vulnérabilités exploitables subsistent. La croissance des technologies inter-chaînes favorise la collaboration multi-chaînes, mais crée aussi de nouvelles opportunités pour les attaquants. Seule une conception rigoureuse, des audits de sécurité approfondis et une transparence accrue sur les risques permettront d’atténuer progressivement les dangers liés à la sécurité dans cet espace.