CrossCurve envisage des actions en justice suite à l'utilisation d'un pont inter-chaînes d'une valeur de 3 millions de dollars
Chapô : Le protocole financier décentralisé CrossCurve a récemment été victime d'un piratage majeur, entraînant des pertes estimées à environ 3 millions de dollars. Son PDG, Boris Povar, a annoncé que si les fonds ne sont pas restitués dans les 72 heures, l'équipe envisagera des poursuites judiciaires. L'attaque repose sur une vulnérabilité dans un contrat intelligent utilisé pour son système de transfert inter-chaînes.
Un important piratage touche CrossCurve
Dimanche dernier, CrossCurve, anciennement connu sous le nom d'EYWA, a révélé qu'un attaquant avait exploité une faille dans ses contrats relais. Cette attaque a permis à l'intrus d'identifier et de siphonner des fonds via dix adresses Ethereum liées au protocole.
Ce piratage s'est produit par le biais d'une vulnérabilité présente dans l'un des contrats intelligents utilisés pour son pont inter-chaînes, qui facilite le transfert de jetons entre différentes blockchains. Selon Boris Povar, « ces jetons ont été illégalement retirés aux utilisateurs en raison d'un exploit de contrat intelligent ». Il souligne qu'il n'y a aucune indication d'intention malveillante chez ceux ayant reçu les fonds.
Boris Povar annonce des poursuites judiciaires
il avertit que leur équipe « assumerait une intention malveillante et traiterait l'affaire comme une question judiciaire ».
Cette escalade pourrait inclure diverses actions légales telles que des poursuites pénales et civiles ainsi que la coordination avec les bourses pour geler ces actifs volés. En effet, Povar mentionne également la possibilité de divulguer publiquement les données relatives aux portefeuilles impliqués.
La sécurité du système mise en question
Des sociétés spécialisées en sécurité blockchain évaluent actuellement les pertes engendrées par ce piratage à environ 3 millions de dollars sur plusieurs réseaux blockchain. Toutefois, CrossCurve n'a pas encore confirmé cette estimation chiffrée.
La société Blockchain BlockSec précise que l'exploit résulte d'un manque crucial de validation au sein du processus inter-chaînes. Les messages qui auraient dû être vérifiés ont échappé à tout contrôle nécessaire, permettant au contrat ciblé par l'attaquant de croire à la légitimité des transactions exécutées.
BlockSec explique : « Les messages inter-chaînes qui auraient dû être validés n'ont pas été vérifiés ». Un autre expert en sécurité, Dan Dadybayo, met aussi en garde contre cette situation : « La partie la plus difficile est s'assurer que rien ne se passe jusqu'à ce que l'authenticité soit pleinement prouvée ».
Une menace récurrente dans le domaine DeFi
Les incidents similaires montrent combien la sécurité autour des ponts DeFi reste précaire. Dadybayo rappelle qu'une tendance inquiétante existe depuis longtemps dans le secteur où ces systèmes peuvent facilement devenir cibles sans mesures adéquates mises en place pour authentifier chaque transaction avant son exécution.
Il fait référence à un cas antérieur notable : le piratage de Nomad en 2022 qui partageait certaines similitudes avec celui-ci aujourd'hui concernant CrossCurve. Ce constat met donc en lumière une réalité préoccupante ; tant que ces protocoles continueront à concentrer leur liquidité tout en se basant sur une logique personnalisée pour valider leurs opérations, ils resteront exposés aux risques majeurs liés aux failles sécuritaires.
De plus amples détails devraient émerger alors que CrossCurve continue ses investigations et cherche à récupérer les fonds perdus lors cet exploit notoire.
