CrossCurveブリッジが、偽装されたメッセージを介して複数のチェーンにわたって約300万ドルを不正利用される
概要
クロスチェーン流動性プロトコルであるCrossCurveは、スマートコントラクトの脆弱性が悪用され、複数のネットワークにわたって約300万ドルが流出したことを確認しました。セキュリティ専門家によると、攻撃ベクトルはReceiverAxelarコントラクトにおけるゲートウェイ検証のバイパスであり、これにより悪意のあるユーザーが偽装されたクロスチェーンメッセージを使用してexpressExecute関数を呼び出し、PortalV2コントラクトからトークンを不正に解除することが可能になりました。この脆弱性は、2022年のNomadの1億9000万ドルのブリッジエクスプロイトと類似しています。CrossCurveは調査が進行中である間、すべてのやり取りを一時停止するよう呼びかけています。同プロトコルは、Curve Financeと提携し、AxelarやLayerZeroなどを利用した「コンセンサスブリッジ」メカニズムを採用しています。
(出典:The Block)