日曜日、DeFiプロジェクトのCrossCurve(旧名EYWA)が重大なセキュリティ事故に見舞われました。公式発表によると、同プロジェクトのクロスチェーン資産移転の仕組みに深刻な脆弱性が存在し、約300万ドル相当の資金が不正に流出しました。BlockSecなど複数のセキュリティ企業の追跡分析により、今回の事件は現在のクロスチェーンブリッジの安全性における体系的なリスクを再び浮き彫りにしています。CrossCurveチームはその後、盗まれた資産を受け取った10のイーサリアムウォレットアドレスをロックしました。声明の中で、CrossCurveのCEOであるБорис Поварは、初期証拠では受取側が悪意のある活動に関与している証拠は見つかっていないと述べつつも、72時間の期限を設けました。資金が返還されない場合や受取側と連絡が取れない場合、CrossCurveは法執行機関への通報、取引所資産の凍結、ウォレット情報の公開、そしてオンチェーン分析企業との連携による資金流の追跡など、対応策を強化するとしています。## 攻撃手法の解明:偽造クロスチェーンメッセージによる検証突破この攻撃の技術的核心は、検証手続きの回避にあります。攻撃者は、CrossCurveのスマートコントラクトに対して偽造されたクロスチェーン通信メッセージを送信し、これらの虚偽指示は本来システムによって識別・拒否されるべきものでしたが、検証ロジックの不備により、コントラクトは欺瞞的なデータを正当な指示と誤認し、無許可の資金引き出しを実行しました。BlockSecの分析レポートは、「検証メカニズムの重大な不足」が根本原因であると指摘しています。クロスチェーンメッセージは、認証を経て初めて実行される必要がありますが、CrossCurveの設計ではこれらの必要な検査が十分に行われておらず、コントラクトは受信したデータの真偽確認を適切に行っていませんでした。## 複数チェーンにわたる損失と資金の分布状況損失規模については、業界の評価に差異があります。Decurityチーム運営の安全監視アカウントであるDefimonsは、総損失額を約300万ドルと推定し、複数のブロックチェーンネットワークにまたがるとしています。一方、BlockSecの詳細な分布分析によると、イーサリアムチェーン上で約130万ドル、Arbitrumチェーン上で約128万ドル、その他にOptimism、Base、Mantle、Kava、Frax、Celo、Blastなどの新興ブロックチェーンに約18万ドルが散在しています。CrossCurveの公式発表は、現時点で総損失額の正式な確認や、各セキュリティ企業の推定に対するコメントは出していません。このデータの不一致は、クロスチェーンエコシステムにおいて正確な損失集計が依然として難しい課題であることを示しています。## 根本的な脆弱性:単一検証ポイントの致命的弱点Unstoppable Walletの研究・戦略責任者Дан Дадыбаёは、この事件に対してより深い技術的解説を提供しています。彼は、CrossCurveが採用するAxelarクロスチェーンプロトコル自体には問題はなく、真の脆弱性は、CrossCurveが独自に開発したReceiverAxelarコントラクトにあると指摘します。このカスタムメッセージ受信コントラクトは、クロスチェーン通信の処理において十分な認証機能を備えていませんでした。Дадыбаёは、クロスチェーンブリッジの安全性の鍵は、メッセージ伝送層そのものではなく、いかなる実行経路も認証を回避できないことを保証することにあると強調します。もしも認証を迂回できる代替の実行経路が存在すれば、信頼性の体系は崩壊します。彼は2022年のNomadブリッジ攻撃を例に挙げ、その際も検証メカニズムの欠陥を突かれ、約1.9億ドルの損失を招いたと述べています。これにより、類似の攻撃手法は既に業界で見られており、設計段階で同じ過ちを繰り返すプロジェクトも存在することが示されています。## クロスチェーン安全性の業界の課題と防御の示唆業界の共通認識として、現状のクロスチェーンブリッジが抱える根本的な問題は、その中心化された流動性構造と、各プロジェクトが独自に設計した検証ロジックにあります。橋渡しプロジェクトが信頼の核心を単一の検証プロセスに委ねる限り、そのプロセスに欠陥があれば、システム全体は機能しなくなります。ユーザーに対しては、以下の防御策を推奨します:- クロスチェーンブリッジの操作には慎重になること、特に新規または知名度の低い橋は注意- 利用前にセキュリティ監査報告を確認し、信頼できるセキュリティ企業による監査済みの製品を優先的に選択- リスクを分散し、一度に大きな資金を単一の橋を通じて移動しない- セキュリティ監視プラットフォームによるリアルタイムのリスクアラートに注目CrossCurveの事例は、成熟したDeFiエコシステムにおいても、安全性の抜け穴が存在し続けていることを改めて示しています。クロスチェーン技術の普及は、多チェーンの連携を促進する一方で、新たな攻撃の機会も生み出しています。より厳格な設計基準、徹底したセキュリティ監査、透明性の高いリスク開示を通じて、クロスチェーンエコシステムの安全性を段階的に向上させる必要があります。
CrossCurveの300万ドルのクロスチェーンブリッジ攻撃事件:偽情報を使ってセキュリティ検証を回避する方法
日曜日、DeFiプロジェクトのCrossCurve(旧名EYWA)が重大なセキュリティ事故に見舞われました。公式発表によると、同プロジェクトのクロスチェーン資産移転の仕組みに深刻な脆弱性が存在し、約300万ドル相当の資金が不正に流出しました。BlockSecなど複数のセキュリティ企業の追跡分析により、今回の事件は現在のクロスチェーンブリッジの安全性における体系的なリスクを再び浮き彫りにしています。
CrossCurveチームはその後、盗まれた資産を受け取った10のイーサリアムウォレットアドレスをロックしました。声明の中で、CrossCurveのCEOであるБорис Поварは、初期証拠では受取側が悪意のある活動に関与している証拠は見つかっていないと述べつつも、72時間の期限を設けました。資金が返還されない場合や受取側と連絡が取れない場合、CrossCurveは法執行機関への通報、取引所資産の凍結、ウォレット情報の公開、そしてオンチェーン分析企業との連携による資金流の追跡など、対応策を強化するとしています。
攻撃手法の解明:偽造クロスチェーンメッセージによる検証突破
この攻撃の技術的核心は、検証手続きの回避にあります。攻撃者は、CrossCurveのスマートコントラクトに対して偽造されたクロスチェーン通信メッセージを送信し、これらの虚偽指示は本来システムによって識別・拒否されるべきものでしたが、検証ロジックの不備により、コントラクトは欺瞞的なデータを正当な指示と誤認し、無許可の資金引き出しを実行しました。
BlockSecの分析レポートは、「検証メカニズムの重大な不足」が根本原因であると指摘しています。クロスチェーンメッセージは、認証を経て初めて実行される必要がありますが、CrossCurveの設計ではこれらの必要な検査が十分に行われておらず、コントラクトは受信したデータの真偽確認を適切に行っていませんでした。
複数チェーンにわたる損失と資金の分布状況
損失規模については、業界の評価に差異があります。Decurityチーム運営の安全監視アカウントであるDefimonsは、総損失額を約300万ドルと推定し、複数のブロックチェーンネットワークにまたがるとしています。一方、BlockSecの詳細な分布分析によると、イーサリアムチェーン上で約130万ドル、Arbitrumチェーン上で約128万ドル、その他にOptimism、Base、Mantle、Kava、Frax、Celo、Blastなどの新興ブロックチェーンに約18万ドルが散在しています。
CrossCurveの公式発表は、現時点で総損失額の正式な確認や、各セキュリティ企業の推定に対するコメントは出していません。このデータの不一致は、クロスチェーンエコシステムにおいて正確な損失集計が依然として難しい課題であることを示しています。
根本的な脆弱性:単一検証ポイントの致命的弱点
Unstoppable Walletの研究・戦略責任者Дан Дадыбаёは、この事件に対してより深い技術的解説を提供しています。彼は、CrossCurveが採用するAxelarクロスチェーンプロトコル自体には問題はなく、真の脆弱性は、CrossCurveが独自に開発したReceiverAxelarコントラクトにあると指摘します。このカスタムメッセージ受信コントラクトは、クロスチェーン通信の処理において十分な認証機能を備えていませんでした。
Дадыбаёは、クロスチェーンブリッジの安全性の鍵は、メッセージ伝送層そのものではなく、いかなる実行経路も認証を回避できないことを保証することにあると強調します。もしも認証を迂回できる代替の実行経路が存在すれば、信頼性の体系は崩壊します。
彼は2022年のNomadブリッジ攻撃を例に挙げ、その際も検証メカニズムの欠陥を突かれ、約1.9億ドルの損失を招いたと述べています。これにより、類似の攻撃手法は既に業界で見られており、設計段階で同じ過ちを繰り返すプロジェクトも存在することが示されています。
クロスチェーン安全性の業界の課題と防御の示唆
業界の共通認識として、現状のクロスチェーンブリッジが抱える根本的な問題は、その中心化された流動性構造と、各プロジェクトが独自に設計した検証ロジックにあります。橋渡しプロジェクトが信頼の核心を単一の検証プロセスに委ねる限り、そのプロセスに欠陥があれば、システム全体は機能しなくなります。
ユーザーに対しては、以下の防御策を推奨します:
CrossCurveの事例は、成熟したDeFiエコシステムにおいても、安全性の抜け穴が存在し続けていることを改めて示しています。クロスチェーン技術の普及は、多チェーンの連携を促進する一方で、新たな攻撃の機会も生み出しています。より厳格な設計基準、徹底したセキュリティ監査、透明性の高いリスク開示を通じて、クロスチェーンエコシステムの安全性を段階的に向上させる必要があります。