Разработчики протокола кроссчейн-ликвидности CrossCurve (ранее EYWA) заявили об атаке на проект и призвали пользователей приостановить все взаимодействия с CrossCurve до завершения расследования. Злоумышленникам удалось вывести как минимум $3 млн в нескольких сетях.
Хакерская атака произошла через обход проверки шлюза в контракте ReceiverAxelar, утверждают специалисты сервиса безопасности Defimon Alerts. Эксперты выяснили, что один из смарт‑контрактов CrossCurve позволял любому пользователю подделать сообщение, обойти проверку валидации и разблокировать токены в контракте PortalV2. В итоге баланс контракта сократился до нуля.
В попытке связаться со злоумышленником гендиреткор CrossCurve Борис Повар опубликовал десять адресов, на которые, по его словам, были переведены украденные токены. Он предложил хакеру вознаграждение в размере 10% от украденных средств и дал 72 часа на принятие решения.
«Эти токены были незаконно изъяты у пользователей из‑за уязвимости в смарт‑контракте. Мы не считаем, что это было сделано умышленно, и не видим признаков злонамеренных действий. Надеемся на ваше содействие в возврате средств», — написал Повар в социальной сети Х.
Ранее CrossCurve особо подчеркивал надежность своей системы безопасности, объявив в документации, что вероятность одновременного взлома нескольких кроссчейн протоколов «близка к нулю». В сентябре 2023 года основатель Curve Finance Михаил Егоров стал инвестором протокола. Позднее проект сообщил о привлечении от венчурных фондов $7 млн.
В 2022 году произошел похожий инцидент с мостом Nomad. Тогда злоумышленники вывели с более чем 300 кошельков $190 млн. Специалисты по безопасности назвали хакеров «простыми подражателями».
