پروتکل کراسکِرو اعلام کرده که بریج بینزنجیرهای این پروژه هدف یک حمله امنیتی قرار گرفته و در نتیجه آن، حدود ۳ میلیون دلار دارایی از چندین شبکه مختلف مورد سوءاستفاده قرار گرفته است. این پروژه از کاربران خواسته تا اطلاع ثانوی، هرگونه تعامل با پروتکل را متوقف کنند، زیرا تحقیقات درباره منشأ آسیبپذیری همچنان ادامه دارد.
کراسکرو اواخر شب یکشنبه در شبکه اجتماعی ایکس (X) اعلام کرد که بریج این پلتفرم تحت حمله قرار گرفته و مهاجم از یک ضعف امنیتی در یکی از قراردادهای هوشمند مورد استفاده سوءاستفاده کرده است. تیم پروژه تأکید کرد که تا پایان بررسیها، کاربران نباید هیچ تراکنشی از طریق این بریج انجام دهند.
کراسکرو (CrossCurve) زیر آتش هکرها
در همین راستا، حساب دفیمان الرتس (Defimon Alerts)، که با شرکت امنیت بلاکچینی دِکیوریتی (Decurity) مرتبط است، گزارش داد که این حمله در چندین شبکه رخ داده و مجموعاً حدود ۳ میلیون دلار از پروتکل خارج شده است.
این گزارش همچنین توضیح داد که یکی از قراردادهای هوشمند کراسکرو به شکلی طراحی شده بود که مهاجم میتوانست یک پیام جعلی ایجاد کند، فرآیند اعتبارسنجی را دور بزند و توکنها را آزاد کند.
طبق جزئیات ارائهشده، هر فردی قادر بود تابعی به نام اکسپرساکسکیوت (expressExecute) را در قرارداد رسیور اکسلار (ReceiverAxelar) فراخوانی کند و با یک پیام بینزنجیرهای تقلبی، سیستم اعتبارسنجی گیتوی (Gateway) را دور بزند. این اقدام در نهایت باعث میشد مکانیسم آزادسازی دارایی در پورتالوی۲ (PortalV2) فعال شود و مهاجم بتواند توکنها را بدون مجوز باز کند.
پس از انتشار این خبر، پروژه کرو فایننس (Curve Finance) که با کراسکرو همکاری داشته، واکنشی محتاطانه نشان داد و در پیامی به کاربران اعلام کرد کسانی که سرمایه خود را به استخرهای کراسکرو اختصاص دادهاند، بهتر است وضعیت موقعیتهای خود را بررسی کنند و حتی حذف رأیهای تخصیصیافته را در نظر بگیرند.
کرو همچنین بر ضرورت تصمیمگیری آگاهانه و تعامل با پروژههای ثالث با مدیریت ریسک تأکید کرد.
در ادامه، کراسکرو تلاش کرده از مسیر مذاکره، امکان بازگرداندن داراییها را فراهم کند. بوریس پووار (Boris Povar)، مدیرعامل این پروژه، با انتشار ۱۰ آدرس کیف پول اعلام کرد که این آدرسها توکنهای مرتبط با سوءاستفاده را دریافت کردهاند. او در پیامی خطاب به مهاجم، این برداشت را مطرح کرد که شاید حمله با نیت کاملاً مخرب انجام نشده باشد و پروژه امیدوار است وجوه بازگردانده شود.
پووار اعلام کرد اگر داراییها ظرف ۷۲ ساعت بازگردانده شوند، کراسکرو حاضر است تا ۱۰٪ پاداش به مهاجم پرداخت کند. اما اگر در این بازه زمانی هیچ تماسی برقرار نشود یا وجوه بازنگردد، پروژه این اقدام را کاملاً خصمانه تلقی خواهد کرد و آن را از مسیر قضایی دنبال میکند.
مدیرعامل کراسکرو همچنین گفت این پروژه آماده است با نیروهای مجری قانون همکاری کند، شکایتهای حقوقی برای جبران خسارت ثبت کند و همراه با سایر پروژههای کریپتویی و نهادهای مرتبط تلاش کند داراییهای سرقتشده را مسدود یا فریز کند.
این حمله بار دیگر نشان میدهد که حتی در زیرساختهای بینزنجیرهای که ستون اصلی اکوسیستم دیفای هستند، کوچکترین ضعف در قراردادهای هوشمند میتواند منجر به باز شدن مسیرهای خطرناک برای دور زدن اعتبارسنجی و آزادسازی غیرمجاز داراییها شود؛ این موضوع اهمیت ممیزی امنیتی و مدیریت ریسک در بریجها را بیش از پیش برجسته میکند.
