去中心化金融协议CrossCurve（前称EYWA）表示，已公开识别出与其代币转移系统在周日发生的黑客攻击相关的十个以太坊地址。

CrossCurve在周日下午披露，攻击者利用了“涉及对其跨链桥的一个智能合约中的漏洞的利用”的缺陷，该系统允许用户在不同区块链之间转移代币。

几小时后，CrossCurve首席执行官Boris Povar表示，团队已识别出十个接收了相关资金的以太坊地址。

“这些代币是由于智能合约漏洞而错误地从用户那里被盗取的，”Povar说。“我们不认为这是你们的故意行为，也没有迹象表明存在恶意意图。”

Povar警告称，如果在72小时内未能归还资金或未建立联系，他们的团队将“假定存在恶意意图，并将此事视为司法问题。”

未能归还资金将触发立即升级，包括刑事转介、民事诉讼、与交易所和发行人协调冻结资产、公开披露钱包和交易数据，以及与执法机构和区块链分析公司合作，Povar补充道。

智能合约是一个在区块链上运行的程序，按照预定义的规则自动执行交易。

区块链安全公司Decurity运营的社交账号Defimon Alerts提供了一个初步估计，认为此次漏洞导致在“多个网络”上损失约300万美元，并补充说，该缺陷使攻击者能够在CrossCurve的智能合约上发送虚假的跨链消息，绕过检查并导致桥接释放资金。

与此同时，区块链安全公司BlockSec估计总损失约为276万美元，其中以太坊损失约130万美元，Arbitrum损失约128万美元，以及包括Optimism、Base、Mantle、Kava、Frax、Celo和Blast在内的多个链。

CrossCurve尚未公开确认安全公司引用的损失估计，也未分享其受影响资金的具体数字。Decrypt已联系CrossCurve以获取评论。

BlockSec团队告诉Decrypt，此次漏洞源于“缺乏验证”。

“应该进行验证的跨链消息未被验证，导致目标链合约认为该消息反映了在源链上发起的真实交易，并根据攻击者伪造的有效载荷数据释放相应的资产，”BlockSec表示。

该事件表明，“跨链安全仍然过于依赖单一的验证路径，”BlockSec补充道。“如果任何替代执行路径绕过该检查，整个信任模型就会崩溃。”

“此次漏洞并不是Axelar核心协议的失败；而是接收方的失败，”Unstoppable Wallet的研究和战略负责人Dan Dadybayo告诉Decrypt。“CrossCurve的自定义ReceiverAxelar合约在未充分验证的情况下执行了跨链消息。”

Dadybayo表示，这种模式在Nomad 2022年黑客攻击等案例中已经出现过。

“桥接安全的难点不在于消息层，而在于确保在真实性完全证明之前不会发生任何事情，”他补充道。“自定义接收器仍然是最薄弱的环节。只要桥接集中流动性并依赖定制的验证逻辑，它们将继续成为DeFi中风险最高的表面。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。