加密协议在跨链桥上遭受$3M 攻击

加密协议CrossCurve的安全漏洞窃取了估计300万美元的跨链桥资金

Contents桥漏洞引发紧急响应 智能合约缺陷暴露消息验证风险 CEO悬赏追回被盗财物 项目证实事件并建议用户在调查进行中停止使用

桥漏洞引发紧急响应

某软件协议Crypto CrossCurve在周日晚在X平台上发布的公开更新中披露了攻击事件。

该团队声称其桥正被利用，原因是智能合约存在漏洞。建议用户暂时停止所有交互。

此次黑客攻击影响了与该桥相关的多个区块链网络。

指出跨链系统存在的长期风险。

这些系统在加密领域曾多次遭受攻击。

安全研究人员很快提供了技术信息。

由区块链安全公司Decurity拥有的Defimon Alerts显示，攻击者利用了消息验证的缺陷。

该漏洞使得伪造的跨链消息被认为是可信的。

报告指出，未使用合约验证消息的真实性。

攻击者被允许调用一个名为expressExecute的接收合约函数。

这绕过了网关验证，未经授权就关闭了代币。

破产资金已被分发，但源链上没有资金交换。

该漏洞允许未授权的资产打印或解密。据估算，损失约为300万美元。

智能合约缺陷暴露消息验证风险

此次事件集中在桥合约中验证代码的松散。

任何一方都可以创建伪造的消息，看似合法。

消息被信任，资金由接收合约发放。

这些都是典型的跨链攻击手段。桥依赖于跨网络传输消息。

在验证失败的情况下，攻击者可以在短时间内清空资源。

CrossCurve表示正在检查所有受影响的合约。

团队尚未确认用户受到的影响程度。目前，赔偿问题尚不明确。

协议还提醒与治理活动相关的用户。Curve建议重新评估委托给CrossCurve池的投票权位置。鼓励用户在使用第三方时保持谨慎。

CEO悬赏追回被盗财物

CrossCurve的CEO Boris Povar发起了对与此次漏洞相关的钱包的追踪行动。

他公布了十个地址，据信包含被盗的代币，要求自愿归还。

据Povar称，资金是通过合约漏洞被盗的。他表示没有恶意意图的证据。72小时内归还的资金最高可获得10%的悬赏。

他威胁如果不合作，将加大追查力度。CrossCurve将配合执法部门采取民事行动。团队还表示，可以与合作伙伴合作冻结资产。

这些悬赏奖励已成为DeFi漏洞事件的常态。其他攻击者会退还资金作为贿赂。

也有人即使受到压力仍然持有资产。

跨链桥攻击仍在行业中窃取数十亿美元。此前的事件包括Ronin、Wormhole和Nomad的挫折。

消息验证的问题仍然是一个重大威胁。CrossCurve的漏洞凸显了加强审计和简化桥设计的必要性。