Розробники протоколу кроссчейн-ліквідності CrossCurve (раніше EYWA) заявили про атаку на проект і закликали користувачів призупинити усі взаємодії з CrossCurve до завершення розслідування. Зловмисникам вдалося вивести щонайменше $3 млн у кількох мережах.
Хакерська атака відбулася через обхід перевірки шлюзу у контракті ReceiverAxelar, стверджують фахівці сервісу безпеки Defimon Alerts. Експерти з'ясували, що один із смарт-контрактів CrossCurve дозволяв будь-якому користувачеві підробити повідомлення, обійти перевірку валідації та розблокувати токени у контракті PortalV2. У результаті баланс договору скоротився до нуля.
У спробі зв'язатися зі зловмисником гендиреткор CrossCurve Борис Кухар опублікував десять адрес, на які, за його словами, було переведено вкрадені токени. Він запропонував хакеру винагороду у розмірі 10% від вкрадених коштів та дав 72 години на ухвалення рішення.
«Ці токени були незаконно вилучені у користувачів через вразливість у смарт-контракті. Ми не вважаємо, що це було зроблено навмисне, і не бачимо ознак зловмисних дій. Сподіваємось на ваше сприяння у поверненні коштів», — написав Кухар у соціальній мережі Х.
Раніше CrossCurve особливо наголошував на надійності своєї системи безпеки, оголосивши в документації, що ймовірність одночасного злому кількох кроссчейн протоколів «близька до нуля». У вересні 2023 року засновник Curve Finance Михайло Єгоров став інвестором протоколу. Пізніше проект повідомив про залучення від венчурних фондів $7 млн.
2022 року стався схожий інцидент з мостом Nomad. Тоді зловмисники вивели із понад 300 гаманців $190 млн. Фахівці з безпеки назвали хакерів «простими наслідувачами».