Attacco al protocollo bridge crypto CrossCurve: sottratti 3 milioni di dollari

CrossCurve ha annunciato di essere stata vittima di un attacco al suo bridge cross-chain, con circa 3 milioni di dollari sottratti su più reti blockchain.

CrossCurve ha scritto:

“Il bridge è sotto attacco, comportando lo sfruttamento di una vulnerabilità in uno dei smart contract utilizzati. Vi preghiamo di sospendere tutte le interazioni con CrossCurve mentre è in corso l’indagine.”

Defimon Alerts (account collegato a Decurity) ha riferito:

“CrossCurve è stata sfruttata per circa 3 milioni di dollari su diverse reti.”

Defimon Alerts ha aggiunto:

“Chiunque poteva chiamare expressExecute sul contratto ReceiverAxelar con un messaggio cross-chain contraffatto, eludendo la validazione del gateway e innescando lo sblocco su PortalV2.”

Curve Finance, partner di CrossCurve, ha raccomandato agli utenti:

“Gli utenti che hanno allocazioni nei pool di CrossCurve potrebbero voler verificare le proprie posizioni e valutare la rimozione di quei voti. Continuiamo a incoraggiare tutti i partecipanti a mantenere alta la vigilanza e a prendere decisioni informate quando interagiscono con progetti di terze parti.”

Dettagli tecnici dell’exploit

Secondo le ricostruzioni fornite dagli analisti di sicurezza, la vulnerabilità riguarderebbe la gestione dei messaggi cross-chain tra i bridge: un contratto consentiva la presentazione di messaggi contraffatti che superavano i controlli di validazione, attivando lo sblocco di token su un’altra componente del sistema.

In particolare, la funzione expressExecute del contratto ReceiverAxelar è stata indicata come punto di ingresso che ha permesso di eludere i controlli del gateway e interagire in modo improprio con PortalV2. Questo tipo di vettore è tipico degli attacchi ai bridge, dove la fiducia nei messaggi cross-chain diventa il fattore critico.

Offerta di ricompensa e richieste del CEO

Boris Povar, CEO di CrossCurve, ha reso pubblici dieci indirizzi che apparentemente hanno ricevuto i token provenienti dall’exploit e ha cercato un contatto diretto con i riceventi.

Boris Povar ha dichiarato:

“Questi token sono stati sottratti ingiustamente agli utenti a causa di un exploit di un smart contract. Non riteniamo che ciò sia stato intenzionale da parte vostra e non ci sono indicazioni di intento malevolo. Speriamo nella vostra collaborazione per restituire i fondi.”

Boris Povar ha offerto una ricompensa fino al 10% qualora i fondi venissero restituiti entro 72 ore dall’attacco e ha precisato le conseguenze nel caso contrario.

Boris Povar ha aggiunto:

“Se i fondi non verranno restituiti o non si stabilirà alcun contatto entro 72 ore, dovremo presumere un intento malevolo e trattare la questione come un caso giudiziario.”

La società ha inoltre comunicato di essere pronta a collaborare con le forze dell’ordine, ad avviare azioni civili per il recupero dei danni e a coordinarsi con altri progetti crypto per congelare eventuali asset qualora necessario.

Impatto sul settore e suggerimenti per gli utenti

Gli exploit ai bridge cross-chain rappresentano una delle principali vulnerabilità nell’ecosistema DeFi, poiché coinvolgono l’interoperabilità tra catene e dipendono da meccanismi complessi di validazione dei messaggi. La perdita di fondi può erodere la fiducia degli utenti e avere ripercussioni sui progetti collegati.

Per gli utenti coinvolti, le misure immediate consigliate includono la revisione delle posizioni, la revoca di eventuali autorizzazioni non necessarie e il monitoraggio degli indirizzi che potrebbero ricevere fondi. Dal punto di vista operativo, è prassi collaborare con società di sicurezza blockchain, specialisti forensi e autorità competenti per tentare il recupero degli asset.

Sul piano regolamentare e istituzionale, eventi di questo tipo rafforzano la necessità di standard di sicurezza più rigorosi per i bridge e di procedure consolidate per la risposta agli incidenti, compresa la cooperazione internazionale tra enti di controllo e forze dell’ordine.

La situazione resta in evoluzione: le indagini tecniche e legali proseguiranno e gli utenti sono invitati a seguire gli aggiornamenti ufficiali e ad adottare comportamenti cautelativi nelle interazioni con progetti e smart contract di terze parti.