CrossCurve utilisé pour un montant de 3 millions de dollars lors d'une attaque sur un pont multi-réseaux

Le protocole de **liquidité inter-chaînes CrossCurve** a été victime d'un exploit de contrat intelligent, entraînant le détournement d'environ 3 millions de dollars sur plusieurs réseaux. Pour récupérer les fonds, le protocole propose une prime et met en garde contre des actions juridiques.

Résumé

• CrossCurve a confirmé un exploit de 3 millions de dollars impliquant des messages inter-chaînes usurpés qui ont contourné la validation du pont.
• Le protocole offre une prime de 10 % pour le retour des fonds volés.

Dans un message publié sur X le 2 février, CrossCurve a demandé à ses utilisateurs de « suspendre toutes les interactions » avec le protocole jusqu'à ce que la vulnérabilité soit corrigée. L’équipe a identifié 10 adresses ayant reçu des jetons détournés et appelle les attaquants à restituer les fonds en échange d'une récompense.

« Nous ne pensons pas que cela soit intentionnel de votre part, et il n'y a aucune indication d'intention malveillante. Nous espérons votre coopération pour restituer les fonds », déclare CrossCurve dans son communiqué.

Pour inciter au retour des fonds, CrossCurve propose une prime équivalente à 10 % des montants volés, suivant sa politique SafeHarbor WhiteHat. Si aucune restitution n'est effectuée dans un délai de 72 heures, le protocole prévoit d'engager des poursuites judiciaires pour recouvrer les dommages et collaborer avec les forces de l'ordre afin de geler les avoirs concernés.

Aucune information officielle concernant l'ampleur exacte des pertes ou le nombre d'utilisateurs affectés par cet incident n'a encore été publiée par CrossCurve. Selon Defimon Alerts, spécialiste en sécurité blockchain, il semble que les pertes totales s'élèvent autour de 3 millions de dollars.

« N'importe qui pourrait appeler expressExecute sur le contrat ReceiverAxelar avec un message inter-chaîne usurpé, contournant la validation du passerelle et déclenchant le déverrouillage sur PortalV2 » , explique Defimon dans son analyse technique. Les données fournies par Arkham Intelligence révèlent également que le solde du contrat PortalV2 est tombé presque à zéro vers la date du 31 janvier.

CrossCurve est anciennement connu sous le nom d’EYWA Protocol, offrant un DEX inter-chaînes ainsi qu’un pont construit en partenariat avec Curve Finance. Le mécanisme utilisé réduit les points uniques de défaillance en acheminant transactions via plusieurs protocoles indépendants.« Les utilisateurs qui ont attribué des votes aux pools liés à Eywa souhaiteront peut-être revoir leurs positions et envisager de supprimer ces votes », conseille Curve Finance après cet incident regrettable.

L'exploit précédent sur SagaEVM soulève des inquiétudes similaires

L’incident touchant CrossCurve constitue désormais le deuxième exploit majeur en quelques semaines seulement, suivant celui ayant frappé la chaîne SagaEVM qui avait causé environ 7 millions de dollars perdus lors d’une violation similaire. Comme rapporté précédemment par crypto.news, Saga avait dû suspendre sa chaîne SagaEVM tout en travaillant activement avec ses partenaires pour restreindre davantage toute circulation non autorisée des fonds volés.