Le protocole Crypto Bridge CrossCurve a été victime d'une exploitation de 3 millions de dollars
Mise à jour (2 février, 00h20 UTC) : Cet article a été mis à jour pour ajouter un message du PDG de CrossCurve, Boris Povar.
Le protocole cryptographique CrossCurve a subi une attaque sur son pont inter-chaînes, entraînant le vol d’environ 3 millions de dollars sur plusieurs réseaux. La société a averti ses utilisateurs de suspendre toute interaction avec la plateforme pendant que l'enquête est en cours. Le PDG de CrossCurve, Boris Povar, a également proposé une récompense pour la restitution des fonds volés.
CrossCurve subit une attaque majeure et alerte les utilisateurs
Dimanche soir, CrossCurve a révélé sur X qu'un incident majeur avait eu lieu : « notre pont était attaqué, impliquant l'exploitation d'une vulnérabilité dans l'un des contrats intelligents utilisés ». L’entreprise a suggéré aux utilisateurs de « suspendre toutes les interactions avec CrossCurve pendant que l'enquête est en cours ».
Selon Defimon Alerts, un compte lié à la société de sécurité blockchain Decurity, environ 3 millions de dollars ont été détournés via cette exploitation. Cette attaque aurait permis à n'importe qui d’usurper un message afin de contourner la validation et déverrouiller des jetons. Defimon Alerts précise : « n'importe qui pourrait appeler expressExecute sur le contrat ReceiverAxelar avec un message inter-chaîne usurpé, contournant la validation de la passerelle et déclenchant le déverrouillage sur PortalV2 ».
Curve Finance met en garde ses utilisateurs après l'attaque
Suite à cet incident, Curve Finance, partenaire stratégique de CrossCurve, a conseillé aux utilisateurs ayant investi dans les pools liés à CrossCurve « de revoir leurs positions et envisager de supprimer ces votes ». Curve Finance insiste également sur l'importance pour tous les participants « de rester vigilants et prendre des décisions conscientes des risques lorsqu'ils interagissent avec des projets tiers ».
Boris Povar propose une prime pour récupérer les fonds volés
Pour tenter d'attirer l’attention du ou des attaquants, Boris Povar a partagé dix adresses suspectes qui auraient reçu les jetons issus du vol. Il offre jusqu'à 10 % comme récompense si les fonds sont restitués dans les 72 heures suivant l’attaque. Il déclare : « Ces jetons ont été illégalement retirés aux utilisateurs en raison d’un exploit de contrat intelligent. Nous ne pensons pas que cela soit intentionnel de votre part [...] Nous espérons votre coopération pour restituer les fonds ».
Povar prévient cependant que si aucun contact n'est établi ou si les fonds ne sont pas restitués dans ce délai imparti, il sera contraint de considérer cela comme une intention malveillante. Il ajoute : « nous devrons présumer qu'il y a une intention malveillante et traiter l'affaire comme une affaire judiciaire ». Dans cette optique, il assure que CrossCurve coopérera étroitement avec les forces de l'ordre et prendra toutes mesures nécessaires pour geler tout actif concerné.
L'avenir incertain du protocole après cette attaque
Cet incident soulève des questions sérieuses concernant la sécurité au sein du secteur crypto et souligne encore davantage le besoin crucial d’une vigilance accrue face aux menaces potentielles. Les conséquences financières pourraient être significatives non seulement pour CrossCurve mais aussi pour tous ceux ayant confiance dans sa technologie.
Alors que le monde attend plus d'informations sur cette affaire délicate, il devient essentiel pour tous acteurs du marché crypto d'apprendre continuellement comment naviguer face aux risques inhérents associés aux protocoles décentralisés.
