CrossCurve столкнулась с угрозой судебного разбирательства после атаки на услуги взлома его кроссчейн-инфраструктуры

Проект CrossCurve, ранее известный как EYWA, оказался в центре серьёзного инцидента безопасности, когда неизвестные злоумышленники использовали услуги взлома смарт-контрактов для проведения целевой атаки на механизм передачи токенов между блокчейнами. В результате компрометации на сумму около трёх миллионов долларов команда проекта объявила об инициировании юридических мер против причастных лиц и предоставила им 72-часовое окно для возврата средств.

Обнаруженные адреса и первоначальный ответ

Команда CrossCurve оперативно идентифицировала десять Ethereum-адресов, куда были переведены похищенные активы сразу после инцидента. Генеральный директор Борис Повар пояснил, что уязвимость в протоколе передачи была использована для несанкционированного вывода средств пользователей. На начальном этапе руководство проекта выразило предположение, что получатели могут не осознавать противоправный характер полученных средств. Однако этот благожелательный подход был обусловлен наличием трёхдневного срока для добровольного возврата активов и установления прямого контакта с причастными сторонами.

При отсутствии согласованного разрешения конфликта CrossCurve пообещала эскалацию вплоть до уголовного преследования, сотрудничества с криптовалютными биржами для замораживания компрометированных активов, а также международного взаимодействия с правоохранительными органами и компаниями-аналитиками блокчейна.

Масштабы потерь распределены по множеству сетей

Аналитическая платформа Defimons, специализирующаяся на мониторинге безопасности блокчейна и управляемая компанией Decurity, выявила, что общий финансовый ущерб составляет приблизительно три миллиона долларов, распределённый по различным блокчейн-сетям. По параллельным оценкам компании BlockSec, лидера в сфере обеспечения безопасности распределённых систем, убытки достигли примерно 2,76 миллиона долларов.

Детальная разбивка показывает, что сеть Ethereum понесла наибольшие потери в размере 1,3 миллиона долларов, в то время как система Arbitrum столкнулась с убытками около 1,28 миллиона долларов. Дополнительные суммы ущерба зафиксированы в сетях Optimism, Base, Mantle, Kava, Frax, Celo и Blast, что подчеркивает разнообразие использованных векторов атаки. Сам CrossCurve до сих пор не опубликовал официальную оценку полной суммы пострадавших активов, обратившись через медиаканал Decrypt к специалистам за дополнительным анализом.

Технические причины: недостаточная верификация и цепочка доверия

Команда BlockSec разъяснила механизм компрометации: основной проблемой стала неадекватная система верификации межсетевых сообщений, которые передаются между различными блокчейн-сетями. Когда сообщение прибывает в целевую сеть, система должна убедиться в его подлинности, но в этом случае контракт принял поддельные данные как легитимные и выполнил инструкции по выводу средств.

Аналитики BlockSec подчеркнули критическую уязвимость в архитектуре кроссчейн-мостов: многие такие системы полагаются на единственный слой проверки. Если этот слой скомпрометирован или обойдён, вся цепочка доверия разрушается. Дан Дадыбаё, возглавляющий отдел научных исследований и стратегического развития в проекте Unstoppable Wallet, пояснил в беседе с Decrypt, что проблема коренилась не в основном протоколе Axelar, а в кастомном контракте ReceiverAxelar, разработанном самим CrossCurve для обработки межсетевых сообщений без достаточного уровня аутентификации.

Исторические параллели и системные уроки

История знает подобные инциденты. Взлом моста Nomad в 2022 году продемонстрировал аналогичные уязвимости в верификационной логике. Дадыбаё отметил, что основной вызов безопасности для кроссчейн-систем заключается не в самом транспортном слое передачи сообщений, а в обеспечении полной аутентификации перед выполнением любых действий. Кастомные получатели сообщений часто оказываются самым слабым звеном в цепи защиты.

Пока кроссчейн-мосты концентрируют значительные объёмы ликвидности и каждый проект разрабатывает собственную логику верификации, такие системы остаются приоритетной мишенью для использования услуги взлома и целевых атак в экосистеме децентрализованных финансов. Инцидент CrossCurve служит напоминанием о том, что усложнённая архитектура кроссчейн-решений требует не только технической грамотности, но и радикального переосмысления моделей безопасности.