Le pont CrossCurve a été exploité pour 3 millions de dollars en raison d'une vulnérabilité dans la validation du contrat intelligent

Chapô

CrossCurve, anciennement connu sous le nom d'EYWA, a récemment connu une faille de sécurité majeure qui a permis à des attaquants de siphonner environ 3 millions de dollars depuis son pont. L'incident, attribué à un manque de contrôles de validation dans les contrats intelligents du protocole, soulève des préoccupations sur la sécurité des systèmes inter-chaînes. Les experts en sécurité comparent cette attaque à celle du pont Nomad en 2022.

Une vulnérabilité critique permet aux attaquants d'exploiter CrossCurve

Le propos s'articule autour d'une faiblesse identifiée dans le contrat ReceiverAxelar de CrossCurve. Selon Defimon Alerts, les attaquants ont contourné la validation nécessaire en invoquant la fonction expressExecute avec des messages frauduleux. Cette manipulation a permis le déverrouillage non autorisé de jetons du contrat PortalV2 sans aucune vérification adéquate. Les données fournies par Arkham Intelligence montrent que le solde du contrat PortalV2 est passé d'environ 3 millions de dollars à presque zéro au cours d'une seule journée. Ce vol a eu lieu sur plusieurs réseaux interconnectés via l'infrastructure de CrossCurve. Taylor Monahan, expert en sécurité, souligne les similitudes entre cet incident et le piratage massif du pont Nomad en 2022, où plus de 300 portefeuilles avaient été compromis simultanément. « Je ne peux pas croire que rien n'ait changé en quatre ans », a déclaré Monahan concernant les faiblesses persistantes dans ces systèmes.

CrossCurve répond rapidement à l'attaque

Face à cette menace sérieuse, CrossCurve a lancé un avis urgent sur Twitter pour informer ses utilisateurs : « Notre pont est actuellement attaqué, impliquant l'exploitation d'une vulnérabilité dans l'un des contrats intelligents utilisés ». L'équipe a recommandé aux utilisateurs de suspendre toutes leurs interactions pendant que l'enquête se poursuivait pour évaluer les dégâts et déterminer les prochaines étapes. Cette réaction rapide visait à limiter davantage les pertes potentielles tout en renforçant la transparence durant cette crise.

Des allégations contradictoires sur la sécurité du protocole

CrossCurve opère comme un DEX inter-chaînes avec un système conçu pour réduire les points faibles grâce à son Consensus Bridge utilisant plusieurs protocoles tels qu'Axelar et LayerZero. Le projet avait précédemment vanté sa robustesse face aux cyberattaques : « La probabilité que plusieurs protocoles crosschain soient piratés en même temps est proche de zéro ». Cependant, cet exploit démontre une faille significative ayant contourné ces protections par une attaque ciblant spécifiquement la couche de validation plutôt que le mécanisme global lui-même. Michael Egorov, fondateur de Curve Finance et investisseur dans CrossCurve depuis septembre 2023, avait vu le protocole lever 7 millions de dollars auprès d'investisseurs pour étendre ses activités avant cette crise majeure. Suite au piratage, Curve Finance a conseillé ses utilisateurs : « Les participants qui ont attribué des votes à des pools liés à Eywa souhaiteront peut-être revoir leurs positions ». Cela montre également comment ce type d'incident impacte non seulement la plateforme directement touchée mais aussi ses partenaires et investisseurs associés. Ce cas met ainsi en lumière l'importance cruciale des mesures sécuritaires dans le secteur croissant mais risqué des finances décentralisées (DeFi).