加密協議在跨鏈橋中遭受$3M 攻擊

CrossOver：加密協議CrossCurve的安全漏洞竊取了約300萬美元的跨鏈橋資金

Contents橋接漏洞引發緊急反應，智能合約缺陷暴露訊息驗證風險，CEO發布懸賞以追回被盜資產，該項目證明事件屬實並建議用戶停止使用，調查仍在進行中。

橋接漏洞引發緊急反應

某軟體協議Crypto CrossCurve於週日深夜在X平台上公開發布更新，披露攻擊事件。

圖：CrossCurve標誌

該團隊聲稱其橋接正受到活躍利用，原因是智能合約漏洞。建議用戶暫時停止所有交互。

此次駭客攻擊影響了多個與該橋相關的區塊鏈網絡，並指出跨鏈系統存在長期風險。

這些系統在加密領域曾多次遭受攻擊。

安全研究人員很快提供了技術資訊。

由區塊鏈安全公司Decurity擁有的Defimon Alerts指出，攻擊者利用了有缺陷的訊息驗證機制。

圖：安全警示通知

該漏洞使得偽造的跨鏈訊息能被視為真實。

報告指出，合約未用於驗證訊息的真實性。

攻擊者得以調用一個名為expressExecute的接收合約函數。

此操作繞過了閘道驗證，未經授權便停用代幣。

資金被分配，但在源鏈上沒有進行資金轉移。

該漏洞允許未經授權的資產印製或解密。估計損失約為300萬美元。

智能合約缺陷暴露訊息驗證風險

事件聚焦於橋接合約中驗證代碼的鬆散。

任何一方都可能創建偽造的訊息，表面看似合法。

該訊息被信任，並由接收合約發放資金。

這是典型的跨鏈攻擊手法。橋接依賴於跨網路傳輸訊息。

若驗證失敗，攻擊者可在短時間內清空資源。

CrossCurve表示正在檢查所有受影響的合約。

團隊尚未確認用戶受到的影響範圍。目前尚不確定是否會進行賠償。

協議也提醒與治理活動相關的用戶。Curve建議重新評估委託投票權的持有人在CrossCurve池中的位置。鼓勵用戶在使用第三方時保持謹慎。

CEO發布懸賞以追回被盜資產

CrossCurve的CEO Boris Povar展開追蹤，呼籲與攻擊相關的錢包。

他公布了十個地址，認為其中可能存有被盜代幣，並要求自願歸還。

圖：Boris Povar

Povar表示，資金是通過合約漏洞被盜，他強調沒有惡意意圖。72小時內的贖回可獲最高10%的懸賞。

他威脅若對方不合作，將加大追查力度。CrossCurve將配合執法部門，採取民事行動。團隊亦表示可與合作夥伴合作凍結資產。

這些懸賞已成為DeFi攻擊後的常態。其他攻擊者也會以金錢作為贓款。

有些則在受到壓力時仍持有資產。

跨鏈橋攻擊仍在行業中竊取數十億美元資金。過去的經驗包括Ronin、Wormhole和Nomad的挫折。

訊息驗證問題仍是重大威脅。CrossCurve的安全漏洞凸顯了加強審計和簡化橋接設計的必要性。