Инцидент с атакой на межцепевой мост CrossCurve на сумму 3 миллиона долларов: как обойти проверку безопасности с помощью ложной информации

Воскресенье, проект DeFi CrossCurve (ранее EYWA) столкнулся с серьезным инцидентом безопасности. Официальные представители проекта обнаружили, что в механизме межцепочечного перевода активов есть критическая уязвимость, в результате которой было незаконно похищено около 3 миллионов долларов. Согласно анализу компаний по безопасности, таких как BlockSec, этот инцидент вновь выявил системные риски безопасности текущих мостов между цепочками.

Команда CrossCurve заблокировала десять адресов кошельков на Ethereum, которые получили украденные активы. В заявлении генеральный директор CrossCurve Борис Повар отметил, что предварительные данные не указывают на то, что получатели сознательно участвовали в злонамеренных действиях, однако команда установила крайний срок в 72 часа. Если средства не будут возвращены или получатели не свяжутся, CrossCurve планирует усилить меры — включая обращение в правоохранительные органы, заморозку активов на биржах, публичное раскрытие информации о кошельках и сотрудничество с аналитическими компаниями для отслеживания движения средств.

Раскрытие методов атаки: как подделать межцепочечное сообщение и обмануть проверку

Техническая суть атаки заключается в обходе системы проверки. Злоумышленники успешно отправили в смарт-контракт CrossCurve поддельное межцепочечное сообщение, которое должно было быть распознано и отклонено системой. Однако из-за недостаточной логики проверки контракт ошибочно принял мошеннические данные за легитимные команды и выполнил несанкционированный вывод средств.

В отчёте BlockSec указывается, что корень проблемы — «серьезное недостаточное качество системы проверки». Для выполнения межцепочечных сообщений требуется аутентификация, однако в архитектуре CrossCurve эти проверки были реализованы недостаточно полно, что позволило контракту принять недостоверные данные без должной проверки их подлинности.

Потери на нескольких цепочках и распределение средств

Что касается масштаба ущерба, оценки экспертов различаются. Аккаунт безопасности Defimons (управляемый командой Decurity) оценивает общий ущерб в 3 миллиона долларов, охватывая несколько блокчейн-сетей. В то время как BlockSec приводит более детальную разбивку: примерно 1,3 миллиона долларов потеряно на Ethereum, около 1,28 миллиона — на Arbitrum, и оставшиеся около 180 тысяч долларов разбросаны по новым цепочкам, таким как Optimism, Base, Mantle, Kava, Frax, Celo и Blast.

Официальные представители CrossCurve пока не подтвердили общие суммы потерь и не прокомментировали оценки других компаний. Такая разница в данных подчеркивает сложность точного учета межцепочечных потерь в экосистеме.

Коренная уязвимость: смертельная слабость единственной точки проверки

Руководитель отдела исследований и стратегии кошелька Unstoppable Wallet Дан Дадыбаё дал более глубокий технический анализ инцидента. Он отметил, что сама протокол Axelar, используемый CrossCurve, не содержит ошибок, а настоящая уязвимость кроется в собственном контракте ReceiverAxelar, разработанном командой CrossCurve. Этот кастомный контракт для получения сообщений при межцепочечной коммуникации не реализовал должных механизмов аутентификации.

Дадыбаё подчеркнул, что ключевая проблема безопасности мостов — не в самом механизме передачи сообщений, а в обеспечении того, чтобы никакой альтернативный путь выполнения не обходил проверку личности. Если существует возможность обхода этой защиты, вся система доверия рушится.

В качестве примера он привел атаку на Nomad в 2022 году: злоумышленники также использовали уязвимость в системе проверки, что привело к потерям почти 190 миллионов долларов. Это показывает, что подобные методы атаки уже применялись в индустрии, и некоторые проекты продолжают ошибаться при проектировании контрактов.

Проблемы отрасли и уроки по обеспечению безопасности

Общее мнение в индустрии — основная проблема современных межцепочечных мостов заключается в их централизованной структуре ликвидности и разрозненных механизмах проверки. Пока проектам доверяют, передавая ключевые полномочия проверки одному единственному процессу, любые его уязвимости могут привести к полной потере доверия и безопасности системы.

Для пользователей рекомендуется соблюдать меры предосторожности:

• Быть осторожными при использовании межцепочечных мостов, особенно новых или менее известных решений
• Перед использованием ознакомиться с результатами аудита безопасности проекта, отдавать предпочтение продуктам, прошедшим аудит у известных компаний
• Распределять риски, не переводя крупные суммы через один мост за один раз
• Следить за актуальными предупреждениями и мониторингом рисков на платформах безопасности

Инцидент с CrossCurve вновь показывает, что даже в зрелой DeFi-экосистеме остаются уязвимости. Развитие межцепочечных технологий способствует многосетевому взаимодействию, но одновременно создает новые возможности для злоумышленников. Только внедрение более строгих стандартов проектирования, тщательных аудитов и прозрачных раскрытий рисков поможет постепенно снизить угрозы безопасности в межцепочечной экосистеме.