CrossCurve, eine Cross-Chain-Brücke und ein Liquiditätsprotokoll, hat bestätigt, dass es einen großen Hack gab, bei dem etwa 3 Millionen Dollar in Kryptowährung abgezogen wurden. Der Verlust passierte über mehrere verbundene Netzwerke, nicht nur über eine einzige Kette.
Das Team hat den Vorfall in einem Beitrag auf X bekannt gegeben und die Nutzer gebeten, das Protokoll während der Untersuchung nicht mehr zu nutzen. Ein wichtiger Liquiditätspool im PortalV2-Vertrag ist während des Angriffs von etwa 3 Millionen Dollar auf fast null gefallen.
Sicherheitsanalysten haben den Exploit auf eine Schwachstelle in einem Vertrag namens ReceiverAxelar zurückgeführt. Dieser Vertrag soll Cross-Chain-Nachrichten überprüfen, bevor Token auf der Zielkette freigegeben werden.
Der Smart-Contract-Fehler hinter dem Hack
Experten fanden heraus, dass der ReceiverAxelar-Vertrag eingehende kettenübergreifende Nachrichten nicht richtig überprüft hat. Der Angreifer konnte eine Funktion namens expressExecute mit gefälschten Nachrichten aufrufen, die echt aussahen.
Da Gateway-Prüfungen fehlten oder schwach waren, akzeptierte der Vertrag die gefälschten Nachrichten und löste den PortalV2-Vertrag aus, um Token freizugeben. Diese Token waren nie wirklich auf der Quellkette gesperrt, sodass das Protokoll effektiv nicht gedeckte Vermögenswerte auszahlte.
Das Blockchain-Sicherheitsunternehmen BlockSec beschrieb das Problem als „mangelnde Validierung” auf dem kettenübergreifenden Pfad. Das Unternehmen warnte, dass kettenübergreifende Systeme immer noch zu stark von einer einzigen Validierungsroute abhängig sind, die zusammenbrechen kann, wenn eine Überprüfung fehlschlägt.
Das 72-Stunden-Ultimatum und die Prämie von CrossCurve
Kurz nach dem Hack sagte Boris Povar, CEO von CrossCurve, dass das Team zehn Ethereum-Adressen identifiziert habe, die die fehlgeleiteten Gelder erhalten hätten. Er betonte, dass die Token aufgrund des Fehlers und nicht durch eine normale Übertragung von den Nutzern entwendet worden seien.
Das Projekt veröffentlichte diese Adressen und bat die Inhaber um ihre Mithilfe bei der Rückgabe der Vermögenswerte. CrossCurve sagte, es habe noch keine eindeutige böswillige Absicht bei einigen Empfängern festgestellt und behandle sie als mögliche White Hats.
Um Rückerstattungen zu fördern, bot CrossCurve eine Prämie von bis zu 10 Prozent der zurückerhaltenen Gelder für diejenigen an, die die Token innerhalb von 72 Stunden zurückgaben. Die restlichen 90 Prozent müssen an eine bestimmte Rückerstattungsadresse gehen, die das Projekt öffentlich bekannt gab.
Wenn innerhalb von 72 Stunden nach Erreichen einer bestimmten Ethereum-Blockhöhe keine Antwort oder Rückerstattung erfolgt, plant CrossCurve, weitere Schritte einzuleiten. Zu den Alternativen gehören Strafanzeigen, Zivilklagen, die Zusammenarbeit mit Börsen und Stablecoin-Emittenten, um Gelder einzufrieren, sowie die Veröffentlichung vollständiger Wallet-Informationen mit Hilfe von Analyseunternehmen wie Chainalysis und TRM Labs.
WEITERLESEN: Krypto-Crash heute: Ist es sicher, bei fallendem Angst- und Gier-Index zu kaufen?
