CrossCurve зіткнулася з загрозою судового розбирательства після атаки на послуги зламу його кроссчейн-інфраструктури

Проєкт CrossCurve, раніше відомий як EYWA, опинився в центрі серйозного інциденту безпеки, коли невідомі зловмисники використали послуги зломів смарт-контрактів для проведення цілеспрямованої атаки на механізм передачі токенів між блокчейнами. Внаслідок компрометації на суму близько трьох мільйонів доларів команда проєкту оголосила про ініціацію юридичних заходів проти причетних осіб і надала їм 72-годинний термін для повернення коштів.

Виявлені адреси та первісна реакція

Команда CrossCurve оперативно ідентифікувала десять Ethereum-адрес, на які були переведені викрадені активи одразу після інциденту. Генеральний директор Борис Повар пояснив, що уразливість у протоколі передачі була використана для несанкціонованого виведення коштів користувачів. На початковому етапі керівництво проєкту висловило припущення, що отримувачі можуть не усвідомлювати протиправний характер отриманих коштів. Однак цей доброзичливий підхід був зумовлений наявністю трьохденного строку для добровільного повернення активів і встановлення прямого контакту з причетними сторонами.

За відсутності погодженого вирішення конфлікту CrossCurve пообіцяла ескалацію до кримінального переслідування, співпрацю з криптовалютними біржами для заморожування компрометованих активів, а також міжнародну взаємодію з правоохоронними органами і компаніями-аналітиками блокчейна.

Масштаби втрат, розподілені по багатьох мережах

Аналітична платформа Defimons, що спеціалізується на моніторингу безпеки блокчейна і керована компанією Decurity, виявила, що загальний фінансовий збиток становить приблизно три мільйони доларів, розподілений по різних блокчейн-мережах. За паралельними оцінками компанії BlockSec, лідера у сфері забезпечення безпеки розподілених систем, збитки сягнули приблизно 2,76 мільйона доларів.

Детальна розбивка показує, що мережа Ethereum зазнала найбільших втрат у розмірі 1,3 мільйона доларів, тоді як система Arbitrum зазнала збитків близько 1,28 мільйона доларів. Додаткові суми збитків зафіксовані у мережах Optimism, Base, Mantle, Kava, Frax, Celo та Blast, що підкреслює різноманіття використаних векторів атак. Сам CrossCurve досі не опублікував офіційну оцінку повної суми постраждалих активів, звернувшись через медіаканал Decrypt до фахівців для додаткового аналізу.

Технічні причини: недостатня верифікація і ланцюг довіри

Команда BlockSec пояснила механізм компрометації: основною проблемою стала неадекватна система верифікації міжмережевих повідомлень, що передаються між різними блокчейн-мережами. Коли повідомлення прибуває у цільову мережу, система має переконатися у його автентичності, але у цьому випадку контракт прийняв підроблені дані як легітимні і виконав інструкції щодо виведення коштів.

Аналітики BlockSec підкреслили критичну уразливість у архітектурі кросчейн-мостів: багато таких систем покладаються на один рівень перевірки. Якщо цей рівень скомпрометовано або обійдено, вся ланцюг довіри руйнується. Дан Дадыбає, керівник відділу наукових досліджень і стратегічного розвитку в проєкті Unstoppable Wallet, пояснив у розмові з Decrypt, що проблема полягала не у основному протоколі Axelar, а у кастомному контракті ReceiverAxelar, розробленому самим CrossCurve для обробки міжмережевих повідомлень без достатнього рівня автентифікації.

Історичні паралелі та системні уроки

Історія знає подібні інциденти. Взлом моста Nomad у 2022 році продемонстрував аналогічні уразливості у логіці верифікації. Дадыбає зазначив, що основним викликом безпеки для кросчейн-систем є не сам транспортний рівень передачі повідомлень, а забезпечення повної автентифікації перед виконанням будь-яких дій. Кастомні отримувачі повідомлень часто виявляються найслабшим ланцюгом у системі захисту.

Поки кросчейн-мости концентрують значні обсяги ліквідності і кожен проєкт розробляє власну логіку верифікації, такі системи залишаються пріоритетною мішенню для зломів і цілеспрямованих атак у екосистемі децентралізованих фінансів. Інцидент CrossCurve слугує нагадуванням про те, що ускладнена архітектура кросчейн-рішень вимагає не лише технічної грамотності, а й радикального переосмислення моделей безпеки.