پروتکل رمزارزی CrossCurve اعلام کرد پل بین‌زنجیره‌ای این پروژه هدف یک حمله قرار گرفته و حدود ۳ میلیون دلار دارایی در چند شبکه مختلف به سرقت رفته است.

CrossCurve: فعلاً با پروتکل تعامل نکنید

کراس‌کرو اواخر روز یکشنبه با انتشار پستی در شبکه اجتماعی X اعلام کرد:

«پل CrossCurve تحت حمله قرار گرفته و این حمله شامل سوءاستفاده از یک آسیب‌پذیری در یکی از قراردادهای هوشمند مورد استفاده بوده است.لطفاً تا پایان بررسی‌ها، هرگونه تعامل با CrossCurve را متوقف کنید.»

در این رابطه بخوانید‌ : بررسی کامل رمزارز بون شیبا سواپ (BONE) | نحوه خرید و پیش‌بینی

جزئیات فنی حمله؛ دور زدن اعتبارسنجی قرارداد هوشمند

اکانت Defimon Alerts که به شرکت امنیت بلاکچینی Decurity وابسته است، گزارش داد CrossCurve در چندین شبکه مختلف حدود ۳ میلیون دلار از دست داده است.

به گفته این منبع، یکی از قراردادهای هوشمند CrossCurve به مهاجم اجازه داده پیام بین‌زنجیره‌ای جعلی ارسال کند و بدون عبور از فرآیند اعتبارسنجی، توکن‌ها را آزاد کند.

Defimon Alerts توضیح داد:

«هر کسی می‌توانست تابع expressExecute را در قرارداد ReceiverAxelar با یک پیام جعلی فراخوانی کند، اعتبارسنجی را دور بزند و فرآیند آزادسازی توکن‌ها را در PortalV2 فعال کند.»

واکنش Curve Finance؛ هشدار به کاربران

پروژه Curve Finance که با CrossCurve همکاری دارد، در واکنش به این اتفاق اعلام کرد کاربرانی که دارایی خود را به استخرهای CrossCurve اختصاص داده‌اند:

«بهتر است موقعیت‌های خود را بررسی کرده و در صورت لزوم، رأی‌ها یا تخصیص‌ها را حذف کنند. ما همچنان از همه مشارکت‌کنندگان می‌خواهیم هنگام تعامل با پروژه‌های شخص ثالث، هوشیار باشند و تصمیمات مبتنی بر مدیریت ریسک بگیرند.»

پیشنهاد پاداش ۱۰ درصدی برای بازگرداندن دارایی‌ها

در تلاش برای ارتباط با مهاجم، بوریس پووار، مدیرعامل CrossCurve، ده آدرسی را منتشر کرد که به گفته او توکن‌های حاصل از این حمله به آن‌ها منتقل شده است.

او در پیامی خطاب به دریافت‌کنندگان نوشت:

«این توکن‌ها به‌دلیل یک اکسپلویت در قرارداد هوشمند، به‌اشتباه از کاربران گرفته شده‌اند. ما باور نداریم این کار عمداً انجام شده باشد و نشانه‌ای از نیت خرابکارانه وجود ندارد. امیدواریم در بازگرداندن دارایی‌ها با ما همکاری کنید.»

همچنین بخوانید : جریان ورودی (inflow) و خروجی (outflow) در صرافی های کریپتو چیست؟

پووار اعلام کرد در صورتی که وجوه ظرف ۷۲ ساعت بازگردانده شوند، CrossCurve تا ۱۰ درصد پاداش پرداخت خواهد کرد.

او هشدار داد:

«اگر ظرف ۷۲ ساعت هیچ تماسی برقرار نشود یا دارایی‌ها بازگردانده نشوند، ناچار خواهیم بود این موضوع را اقدامی خرابکارانه تلقی کرده و از مسیر قضایی پیگیری کنیم.»

اقدامات احتمالی بعدی CrossCurve

به گفته مدیرعامل CrossCurve، در صورت عدم همکاری مهاجم، این پروژه آماده است:

• با نهادهای قضایی و انتظامی همکاری کند
• دادخواست‌های حقوقی برای جبران خسارت ثبت کند
• با سایر پروژه‌های کریپتویی و مراجع ذی‌ربط برای فریز کردن دارایی‌ها هماهنگی انجام دهد

این حمله بار دیگر اهمیت امنیت قراردادهای هوشمند و ریسک‌ پل‌های بین‌زنجیره‌ای را برای کاربران بازار رمزارز یادآوری می‌کند.

ترجمه شده توسط مجله خبری نیپوتو