Атака на міжланцюговий міст CrossCurve на суму 3 мільйони доларів: як обійти безпекову перевірку за допомогою фальшивої інформації

У неділю проект DeFi CrossCurve (раніше EYWA) зазнав серйозної безпекової інциденту. Офіційний представник проекту виявив, що у механізмі міжланцюгового переказу активів існує серйозна уразливість, яка призвела до незаконного привласнення приблизно 3 мільйонів доларів. За аналізом компаній BlockSec та інших безпекових фірм, ця подія знову висвітлює системні ризики безпеки сучасних міжланцюгових мостів.

Команда CrossCurve пізніше заблокувала десять адрес гаманців Ethereum, які отримали викрадені активи. У заяві генеральний директор CrossCurve Борис Повар зазначив, що попередні докази не свідчать про навмисну участь отримувачів у зловмисних діях, але команда встановила крайній термін у 72 години. Якщо кошти не будуть повернені або отримувачі не зв’яжуться, CrossCurve підвищить рівень реагування — включно з повідомленням правоохоронних органів, блокуванням активів на біржах, публічним розкриттям інформації про гаманці та співпрацею з аналітичними компаніями для відстеження руху коштів.

Аналіз методів атаки: фальсифікація міжланцюгових повідомлень для обману системи перевірки

Технічна суть цієї атаки полягає у обході системи перевірки. Зловмисники успішно надіслали фальшиві міжланцюгові повідомлення до смарт-контракту CrossCurve. Ці підроблені інструкції мали бути ідентифіковані системою та відхилені, але через недосконалість логіки перевірки контракт неправильно сприйняв шахрайські дані як легальні, що призвело до несанкціонованого виведення коштів.

У своєму звіті BlockSec зазначає, що корінь проблеми — у “серйозних недоліках системи перевірки”. Повідомлення міжланцюгових мостів мають проходити аутентифікацію перед виконанням, але у структурі CrossCurve ці необхідні перевірки не були належним чином реалізовані, через що контракт при отриманні даних не підтвердив їхню справжність.

Втрати на кількох ланцюгах та розподіл коштів

Щодо масштабів збитків, оцінки різняться. Згідно з даними Defimons (аккаунт безпеки, керований командою Decurity), загальні втрати становлять близько 3 мільйонів доларів і охоплюють кілька блокчейнів. У той час як BlockSec наводить більш детальний розподіл: на Ethereum втрати склали приблизно 1,3 мільйона доларів, на Arbitrum — близько 1,28 мільйона, а решта — близько 180 тисяч доларів розподілені між новими ланцюгами, такими як Optimism, Base, Mantle, Kava, Frax, Celo та Blast.

Офіційний представник CrossCurve поки що не оприлюднив загальні дані про втрати та не прокоментував оцінки інших безпекових компаній. Це свідчить про те, що точне підрахунок збитків у міжланцюговій екосистемі залишається складною задачею.

Глибока уразливість: смертельна слабкість у єдиній точці перевірки

Дан Дадыбає, керівник досліджень та стратегій Unstoppable Wallet, дав глибший технічний аналіз цієї події. Він зазначив, що протокол Axelar, який використовується у CrossCurve, сам по собі не має проблем, справжня уразливість — у кастомізованому смарт-контракті ReceiverAxelar, розробленому командою CrossCurve. Цей контракт для прийому повідомлень при обробці міжланцюгових повідомлень не реалізував достатніх механізмів аутентифікації.

Дадыбає підкреслює, що ключовим викликом безпеки міжланцюгових мостів є не сама передача повідомлень, а гарантія того, що жоден шлях виконання не може обійти перевірку особи. Якщо існує будь-який альтернативний шлях виконання, що обходить цю перевірку, довіра до системи руйнується.

Як приклад він навів атаку на Nomad у 2022 році: тоді зловмисники також використали вразливість у системі перевірки, завдавши збитків майже на 190 мільйонів доларів. Це свідчить про те, що подібні методи атак вже застосовувалися у галузі, і деякі проєкти досі допускають повторення таких помилок при розробці контрактів.

Проблеми галузі та уроки безпеки для міжланцюгових мостів

Загальне визнання у галузі полягає в тому, що основна проблема міжланцюгових мостів — у їхній централізованій структурі ліквідності та у відсутності узгодженої логіки перевірки. Якщо проєкт делегує довіру до одного процесу перевірки, і цей процес має вразливості, вся система стає вразливою.

Для користувачів рекомендується:

• Бути обережними при використанні міжланцюгових мостів, особливо нових або менш відомих
• Перед використанням ознайомитися з результатами аудиту безпеки проєкту, обирати продукти, що пройшли аудит від відомих компаній
• Диверсифікувати ризики, не переводити великі суми одразу через один мост
• Слідкувати за оновленнями та попередженнями безпеки від платформ моніторингу

Інцидент з CrossCurve ще раз показує, що навіть у зрілій DeFi-екосистемі існують уразливості. Розвиток міжланцюгових технологій сприяє багатоланцюговій співпраці, але водночас створює нові можливості для атак. Лише за допомогою більш строгих стандартів проектування, ретельних аудитів та прозорого розкриття ризиків можна поступово зменшити безпекові загрози у цій сфері.