分散型クロスチェーンブリッジであるCrossCurveは本日、大規模なセキュリティ侵害に見舞われ、その結果、約300万ドル相当の様々なデジタル資産が盗難されました。
予備的なフォレンジック分析によると、このエクスプロイトは、ブリッジのメッセージ送信および検証メカニズムを悪用したものです。攻撃者は、ブリッジがクロスチェーン証明の正当性を適切に検証できないという脆弱性を突き、Ethereum、Polygon、BNB Chainを含む複数の統合チェーン間で、公式な取引メッセージに効果的に「なりすます」ことを可能にしました。この欠陥を利用し、送信元チェーンから発信されたかのように見える悪意のあるメッセージを作成することで、宛先チェーンのリレイヤーを騙し、ロックされた資産の不正なミント(鋳造)や引き出しを承認させました。
最初の攻撃経路はUTC(協定世界時)の14:00頃に確認されました。盗まれた資金は主にステーブルコインとネイティブトークンであり、推定総損失額は約300万ドルに上ります。これらの資金は集約された後、様々なミキシングサービスを通じて洗浄されました。
CrossCurveチームはこれに対応し、さらなる資金流出を防ぐために全てのブリッジ機能を直ちに一時停止し、緊急パッチを展開しました。彼らは現在、包括的な事後分析を実施するために主要なブロックチェーンセキュリティ監査人を雇用するとともに、法執行機関と協力しています。プロトコルは、調査完了後、可能な資金回収の取り組みや詳細なコミュニティへの償還計画を含む、修復戦略を検討することを約束しています。
Source: CrossCurve bridge exploited for approximately $3 million across multiple chains via spoofed messages
コメント