交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
索拉纳ETF
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注
摘要:验证缺失导致未授权代币提取
协议的安全性声明与漏洞利用机制相矛盾。CrossCurve的接收合约缺乏验证检查,使得攻击者能够伪造消息。该漏洞从多个区块链网络的PortalV2合约中抽走了约300万美元资金。安全专家将此事件与Nomad在2022年遭受的损失1.9亿美元的桥接攻击相提并论。在发生安全漏洞后,Curve Finance建议用户审查与EYWA相关资金池的头寸。
跨链流动性协议CrossCurve(前身为EYWA)于周日确认发生安全漏洞,其桥接基础设施损失约300万美元。此次攻击利用了协议智能合约中的一个验证漏洞,促使团队敦促用户暂停所有平台交互。该事件影响多个区块链网络,并引发了人们对去中心化金融中桥接安全实践的担忧。
缺失的验证检查导致未授权代币提取
根据区块链安全账号Defimon Alerts的信息,此次漏洞利用了CrossCurve的ReceiverAxelar合约中的一个关键缺陷。攻击者通过调用expressExecute函数并携带伪造的跨链消息,绕过了网关验证。这种操作在未经适当验证的情况下,触发了协议PortalV2合约的未授权代币解锁。
来自Arkham Intelligence的数据显示,PortalV2合约的余额在1月31日从大约300万美元骤降至接近零。攻击波及连接到CrossCurve桥接基础设施的多个网络。安全专家泰勒·莫纳汉将其与2022年Nomad损失1.9亿美元的桥接攻击进行了比较,当时超过300个钱包同时抽走资金。“我不敢相信四年过去了,情况依然如故,”莫纳汉在分析该漏洞与以往桥接漏洞的相似性时表示。
ReceiverAxelar合约缺少本应阻止伪造消息执行代币转账的基本验证检查。这一根本性疏忽使得攻击者能够操纵系统并系统性地提取资金。
CrossCurve在X上发布紧急通知,确认攻击正在进行。“我们的桥接目前正遭受攻击,涉及对所用智能合约中一个漏洞的利用,”团队宣布。协议要求用户在调查损失和确定修复步骤期间,暂停所有与CrossCurve的交互。
协议的安全性声明与漏洞利用机制相矛盾
CrossCurve运营着一个与Curve Finance共同开发的跨链DEX和共识桥接。该平台采用共识桥接机制,通过包括Axelar、LayerZero和EYWA预言机网络在内的多个验证协议来路由交易。此架构旨在消除跨链操作中的单点故障。
该项目此前曾宣传其安全框架优于竞争对手。协议文档声称“多个跨链协议同时被黑客攻击的概率接近于零”。然而,此次漏洞通过针对验证层而非共识机制本身,绕过了这些保护措施。
Curve Finance创始人迈克尔·埃戈罗夫于2023年9月投资了该协议。CrossCurve随后披露从风险投资公司筹集了700万美元以扩大运营。该协议从EYWA Protocol更名,同时保留了其核心桥接技术和合作伙伴关系。
Curve Finance对此事件作出回应,建议在EYWA相关资金池中有配置的用户进行审查。“已将对EYWA相关资金池分配投票的用户,可能需要审查其头寸并考虑移除这些投票,”该平台在X上表示。该组织鼓励参与者在与第三方协议互动时保持谨慎,并做出风险意识决策。
