CrossCurve xác nhận cầu nối cross-chain của giao thức đã bị khai thác lỗ hổng smart contract, gây thiệt hại khoảng 3 triệu USD trên nhiều mạng blockchain.
Sự cố một lần nữa làm nổi bật rủi ro cố hữu của hạ tầng cross-chain, nhóm mục tiêu thường xuyên của tin tặc trong lĩnh vực tiền điện tử. CrossCurve kêu gọi người dùng dừng mọi tương tác trong lúc đội ngũ điều tra nguyên nhân và phạm vi ảnh hưởng.
- Cầu nối cross-chain của CrossCurve bị tấn công, tổng thiệt hại ước khoảng 3 triệu USD.
- Báo cáo kỹ thuật cho rằng lỗi nằm ở khâu xác minh thông điệp cross-chain, cho phép giả mạo thông điệp để mở khóa token.
- CEO CrossCurve đề nghị hoàn trả tài sản và treo thưởng tối đa 10% nếu trả trong 72 giờ, nếu không sẽ theo đuổi biện pháp pháp lý.
CrossCurve bị khai thác cầu nối cross-chain và mất khoảng 3 triệu USD
CrossCurve cho biết cầu nối của họ đang bị tấn công và một lỗ hổng smart contract đã bị khai thác, khiến khoảng 3 triệu USD bị đánh cắp trên nhiều blockchain.
CrossCurve công bố sự cố vào cuối Chủ nhật trên X, mô tả cầu nối “đang bị tấn công” và đội ngũ đang khẩn trương xác minh cơ chế bị lợi dụng. Giao thức cũng yêu cầu người dùng tạm dừng toàn bộ tương tác với CrossCurve để hạn chế rủi ro phát sinh trong thời gian điều tra.
Thông tin phân tích ban đầu được chia sẻ bởi Defimon Alerts, một tài khoản trên X thuộc công ty an ninh blockchain Decurity. Theo nội dung được đăng, kẻ tấn công đã chiếm quyền thực thi trên một smart contract của CrossCurve và rút đi khoảng 3 triệu USD giá trị tài sản.
Lỗi xác minh thông điệp cross-chain được cho là nguyên nhân cốt lõi
Báo cáo cho rằng contract của CrossCurve không xác minh đúng thông điệp cross-chain, khiến kẻ tấn công có thể giả mạo thông điệp hợp lệ để mở khóa token trái phép.
Theo Defimon Alerts, contract đã không kiểm tra chặt chẽ tính hợp lệ của thông điệp liên chuỗi, tạo điều kiện để bất kỳ bên nào “spoof” (giả mạo) thông điệp trông giống như thật. Điều này giúp kẻ tấn công vượt qua cơ chế xác thực truyền thống và mở khóa token mà không có ủy quyền.
Cụ thể hơn, phân tích đề cập việc bất kỳ người nào cũng có thể gọi hàm expressExecute trong contract ReceiverAxelar. Việc gọi hàm này được mô tả là đã lợi dụng một thông điệp cross-chain giả để vượt qua kiểm tra của gateway, sau đó mở khóa token trên contract PortalV2.
Do PortalV2 tin tưởng thông điệp đó, tiền đã được giải ngân ngay cả khi không hề có giao dịch tương ứng trên chain nguồn. CrossCurve cho biết đang rà soát các contract bị ảnh hưởng và tiếp tục điều tra toàn bộ chuỗi hành động liên quan đến khai thác.
CrossCurve kêu gọi dừng tương tác và chưa xác nhận phương án bồi hoàn
CrossCurve yêu cầu người dùng dừng mọi hoạt động với giao thức trong khi điều tra, và hiện chưa xác nhận liệu tất cả người dùng có được bồi hoàn thiệt hại hay không.
Về phía các dự án liên quan, Curve đã cảnh báo người dùng có quyền biểu quyết (voting power) đã uỷ quyền cho các pool CrossCurve cần rà soát vị thế và cân nhắc gỡ phiếu. Thông điệp nhấn mạnh nhà đầu tư nên chủ động theo dõi rủi ro và đưa ra quyết định dựa trên hiểu biết khi tương tác với các dự án bên thứ ba.
Xem thông báo của Curve trên X
CrossCurve treo thưởng tối đa 10% để thu hồi token bị đánh cắp
CEO CrossCurve, Boris Povar, đã công khai đề nghị hoàn trả tài sản và đưa ra mức thưởng tối đa 10% nếu token được trả lại trong vòng 72 giờ.
Nhằm tăng cơ hội thu hồi tài sản, Boris Povar cho biết đã liên hệ công khai tới các địa chỉ bị nghi nhận token từ vụ khai thác, đồng thời chia sẻ 10 địa chỉ blockchain được cho là có liên quan đến tài sản bị đánh cắp. Ông đề nghị các bên nắm giữ hoàn trả tài sản và phối hợp để giải quyết sự cố.
“Các token đã bị lấy sai trái từ người dùng do một khai thác lỗ hổng smart contract.”
– Boris Povar, CEO CrossCurve, bài đăng trên X
Ông cũng nói chưa có bằng chứng rõ ràng cho thấy cuộc tấn công là cố ý hoặc mang động cơ ác ý, nhưng vẫn đề nghị hợp tác hoàn trả. Nếu tài sản được trả trong 72 giờ, CrossCurve đưa ra mức thưởng “white hat” lên tới 10%.
Nếu không có liên hệ hoặc không hoàn trả trong thời hạn này, CrossCurve sẽ xem đây là vấn đề hình sự, đồng thời cân nhắc phối hợp cơ quan thực thi pháp luật, khởi kiện dân sự để thu hồi thiệt hại, và làm việc với các dự án crypto cùng cơ quan chức năng nhằm đóng băng tài sản liên quan.
Liên kết bài đăng liên quan đến tài sản bị đánh cắp trên X
Tấn công cross-chain tiếp tục là điểm nóng rủi ro của DeFi và hạ tầng cầu nối
Các vụ khai thác cầu nối cross-chain vẫn diễn ra thường xuyên, và lỗi xác minh thông điệp là một trong những nguyên nhân phổ biến có thể gây thiệt hại rất lớn trong thời gian ngắn.
Sự cố CrossCurve được mô tả là mắt xích mới trong chuỗi dài các cuộc tấn công nhắm vào cầu nối cross-chain và giao thức DeFi. Trong vài năm qua, nhiều vụ bridge exploit đã gây tổn thất lên tới hàng tỷ USD; các sự kiện nổi bật từng được nhắc đến gồm Ronin Bridge, Wormhole và Nomad.
Điểm chung trong nhiều vụ việc là thất bại ở khâu xác minh thông điệp, tương tự nhận định ban đầu trong trường hợp CrossCurve. Các nhà phân tích an ninh từ lâu đã coi cross-chain bridge là một trong những bề mặt tấn công rủi ro nhất trong crypto, vì chỉ cần sai lệch nhỏ trong logic xác thực cũng có thể dẫn đến việc mint hoặc mở khóa token không có bảo chứng.
Trước làn sóng sự cố, nhiều bên liên quan kêu gọi tăng cường thực hành bảo mật như kiểm toán nghiêm ngặt hơn, thiết kế đơn giản hơn, dấu vết kiểm toán rõ ràng và công cụ giám sát theo thời gian thực. Tuy vậy, sự cố lần này cho thấy lỗ hổng vẫn có thể xuất hiện, và người dùng cần coi rủi ro là yếu tố trung tâm khi tham gia các giao thức phi tập trung.
Những câu hỏi thường gặp
CrossCurve bị mất bao nhiêu tiền trong vụ tấn công cầu nối cross-chain?
CrossCurve cho biết thiệt hại khoảng 3 triệu USD, xảy ra trên nhiều mạng blockchain sau khi lỗ hổng smart contract trong hạ tầng cầu nối bị khai thác.
Nguyên nhân kỹ thuật ban đầu của vụ khai thác CrossCurve là gì?
Phân tích được chia sẻ trên X cho rằng contract đã không xác minh đúng thông điệp cross-chain, tạo điều kiện để kẻ tấn công giả mạo thông điệp hợp lệ nhằm vượt kiểm tra và mở khóa token trái phép.
CrossCurve có bồi hoàn cho người dùng bị ảnh hưởng không?
Giao thức chưa xác nhận liệu tất cả người dùng có được bồi hoàn hay không, và đang điều tra các contract bị ảnh hưởng cùng cơ chế bị lợi dụng.
CrossCurve treo thưởng 10% có nghĩa là gì?
CEO Boris Povar đề nghị thưởng tối đa 10% giá trị tài sản nếu token được hoàn trả trong vòng 72 giờ. Đây là dạng “white hat bounty” nhằm khuyến khích hoàn trả thay vì kéo dài tranh chấp.
