新聞 
幣種資訊 
關於我們 
根據 Decrypt 於 24 日(當地時間)的報導,跨鏈橋協議 CrossCurve 遭受重大的駭客攻擊,導致約 300 萬美元(約新台幣 9,800 萬元)資產從多條區塊鏈網路中遭竊,攻擊源自其智能合約的安全漏洞。
CrossCurve 官方透過 X(前身為 Twitter)證實,攻擊者利用智慧合約 ReceiverAxelar 的驗證機制漏洞,以偽造訊息繞過檢查流程,在通道合約 PortalV2 中無授權地釋放資產。平台已警告所有用戶立即停止與協議互動,以防進一步損失。
這場攻擊導致資金錯誤地發送至十個無關的錢包地址。CrossCurve 表示,相信這些錢包持有者沒有惡意,並呼籲協助歸還資產,同時公開這些地址以增強透明性。鏈上安全監測平台 Defimon Alerts 指出,本次駭侵手法與 2022 年 Nomad Bridge 遭駭損失 1 億 9,000 萬美元事件極為相似,同樣是利用偽造訊息繞過安全措施進行非法資金轉移。
評論:此事件再次突顯「跨鏈橋」技術在資產轉移過程中存在顯著漏洞,即便是以「分散式金融(DeFi)」為宗旨的平台,也難以避免基礎設施上的弱點成為駭客的攻擊目標。
作為補救措施,CrossCurve 宣布啟動「安全港發還政策」,承諾願意歸還資產的白帽駭客將最高可獲得 10% 的作為回報。Platform 給予 72 小時的期限,逾時未返還者將面臨刑事與民事訴訟。CrossCurve 亦表示,將與包括 Coinbase、Binance 等主要交易所,以及穩定幣發行方 USDC、區塊鏈監控公司如 Chainalysis、TRM Labs、Elliptic 等合作,追蹤資金移動並展開後續執法行動。
在此事件發生後,同為 DeFi 項目的 Curve Finance 也作出回應,提醒其用戶重新評估是否要繼續將治理投票權分配給 CrossCurve 相關流動性池,甚至可選擇撤回。
鏈上安全專家則呼籲加密產業建立「安全智能合約開發與審計標準」。托管平台 Komainu 的首席資安長 Andrew Morfill 表示:「若想重建市場信任,產業必須在智慧合約開發中落實驗證機制與審計流程,同時改善整體軟體開發生態。」
CrossCurve 去年曾獲得 Curve 創辦人 Mikhail Egorov 支援,並成功募得 700 萬美元資金,受到市場高度關注。但此次攻擊事件再次揭露 DeFi 項目在跨鏈橋技術方面仍存「漏洞」與「信任不足」的問題,顯示建立安全框架與加強事前審查制度已刻不容緩。
留言 0