- Penyerang melewati validasi gateway menggunakan pesan lintas rantai palsu untuk membuka dana.
- Eksploitasi tersebut menguras sekitar $3 juta dari kontrak PortalV2 CrossCurve di berbagai jaringan.
- CrossCurve mengidentifikasi sepuluh dompet penerima dan mengaktifkan kebijakan hadiah WhiteHat 10%.
CrossCurve, protokol likuiditas lintas rantai terdesentralisasi yang sebelumnya dikenal sebagai EYWA, telah mengonfirmasi bahwa infrastruktur jembatannya dieksploitasi, yang menyebabkan kerugian sekitar $3 juta.
Serangan ini menambah peningkatan substansial dalam pencurian kripto. Hampir $400 juta dicuri di seluruh industri pada Januari 2026 saja. Lebih dari 40 insiden keamanan besar tercatat selama bulan itu, menurut CertiK.
Pesan palsu melewati validasi
Eksploitasi tersebut menargetkan pemeriksaan validasi yang hilang di salah satu kontrak pintar CrossCurve. Menurut Defimon Alerts, siapa pun dapat memanggil fungsi expressExecute pada kontrak ReceiverAxelar menggunakan pesan lintas rantai palsu.
Ini melewati validasi gateway dan memicu pembukaan kunci token yang tidak sah pada kontrak PortalV2 protokol. Data Arkham menunjukkan saldo PortalV2 turun dari sekitar $ 3 juta menjadi mendekati nol sekitar 31 Januari, dengan dana terkuras di beberapa jaringan.
BlockSec kemudian memperkirakan total kerugian sekitar $ 2,76 juta. Sekitar $1,3 juta hilang di Ethereum dan sekitar $1,28 juta di Arbitrum. Kerugian tambahan tercatat pada Optimism, Base, Mantle, Kava, Frax, Celo, dan Blast.
Mekanisme eksploitasi menyerupai kegagalan jembatan Nomad pada tahun 2022, di mana pemeriksaan verifikasi yang cacat menyebabkan pengurasan dana yang cepat oleh ratusan dompet.
Tanggap Darurat dan Identifikasi Dompet
Setelah serangan itu, CrossCurve mengeluarkan pemberitahuan mendesak yang meminta pengguna untuk menghentikan semua interaksi saat masalah tersebut diselidiki. Tim kemudian mengkonfirmasi telah mengidentifikasi sepuluh alamat Ethereum yang menerima token yang berasal dari eksploitasi.
CrossCurve menyatakan bahwa dana tersebut diambil karena cacat kontrak pintar dan mengatakan tidak mengasumsikan niat jahat pada tahap ini. Protokol tersebut menggunakan kebijakan SafeHarbor WhiteHat, menawarkan hadiah hingga 10% kepada pihak mana pun yang mengembalikan dana yang tersisa.
Itu juga mengundang koordinasi langsung melalui email atau pembayaran anonim ke dompet yang ditunjuk. Tetapi diperingatkan bahwa jika tidak ada kontak yang dilakukan dan dana tidak dikembalikan dalam waktu 72 jam dari blok 24364392, insiden itu akan diperlakukan sebagai jahat.
Langkah-langkah eskalasi termasuk rujukan pidana, litigasi perdata, kerja sama dengan bursa terpusat dan penerbit stablecoin untuk membekukan aset, pengungkapan publik data dompet, dan koordinasi dengan perusahaan analitik blockchain dan penegak hukum.
Terkait: Peretasan Protokol Truebit Memicu Rekor Biaya Uniswap di Tengah Dump TRU 100%
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
