CrossCurve कई नेटवर्क्स में सक्रिय ब्रिज एक्सप्लॉइट की पुष्टि करता है

CrossCurve ने पुष्टि की है कि उसका क्रॉस-चेन ब्रिज सक्रिय हमले के तहत है, जब एक गुम सत्यापन जांच ने जाली क्रॉस-चेन संदेशों को इसकी प्रणाली से गुजरने की अनुमति दी।

इस भेद्यता ने हमलावरों को प्रोटोकॉल के PortalV2 कॉन्ट्रैक्ट से सीधे फंड निकालने में सक्षम बनाया, ऑनचेन डेटा से पता चलता है कि कई ब्लॉकचेन नेटवर्क में लगभग $3 मिलियन का नुकसान हुआ है।

टीम ने सार्वजनिक रूप से इस शोषण को स्वीकार किया और उपयोगकर्ताओं से आग्रह किया कि वे आपातकालीन जांच जारी रहने तक प्लेटफॉर्म के साथ सभी इंटरैक्शन तुरंत रोक दें।

CrossCurve, जिसे पहले EYWA के नाम से जाना जाता था, एक Curve-समर्थित इंटरऑपरेबिलिटी प्रोजेक्ट है जिसे Curve के संस्थापक Michael Egorov द्वारा समर्थित किया गया है और पहले लगभग $7 मिलियन की फंडिंग जुटाई थी।

यह पुष्टि एक और याद दिलाती है कि कैसे क्रॉस-चेन ब्रिज DeFi इंफ्रास्ट्रक्चर के सबसे अधिक लक्षित और कमजोर घटकों में से एक बने हुए हैं।

सत्यापन त्रुटि ने जाली संदेशों को PortalV2 फंड निकालने की अनुमति दी

CrossCurve के प्रारंभिक तकनीकी निष्कर्षों के अनुसार, यह शोषण ब्रिज की संदेश सत्यापन प्रक्रिया में एक गुम सत्यापन जांच से उत्पन्न हुआ।

इस त्रुटि ने हमलावरों को धोखाधड़ी वाले क्रॉस-चेन निर्देश तैयार करने की अनुमति दी जो प्रोटोकॉल को वैध प्रतीत हुए, जिससे आंतरिक सुरक्षा उपायों को ट्रिगर किए बिना अनधिकृत निकासी संभव हो गई।

एक बार जाली संदेश सिस्टम से गुजर गए, हमलावर ने कई जुड़े नेटवर्क में PortalV2 कॉन्ट्रैक्ट के भीतर रखी गई संपत्तियों को व्यवस्थित रूप से निकाल लिया।

ब्रिज शोषण पिछले दो वर्षों में क्रिप्टो में एक प्रमुख हमले का वेक्टर बन गया है, मुख्य रूप से क्योंकि वे पूल की गई लिक्विडिटी रखते हैं जो चेन के बीच संपत्तियों को तेजी से स्थानांतरित करने के लिए डिज़ाइन की गई है, जिससे विफलता के बड़े एकल बिंदु बनते हैं।

CrossCurve के मामले में, शोषण को सीधे स्मार्ट कॉन्ट्रैक्ट लॉजिक को भंग करने की आवश्यकता नहीं थी। इसके बजाय, इसने मैसेजिंग लेयर का दुरुपयोग किया जो इकोसिस्टम में संपत्ति आंदोलन का समन्वय करती है।

तब से टीम ने शोषित ब्रिज को फ्रीज कर दिया है और यह समझने के लिए पूर्ण फोरेंसिक समीक्षा शुरू की है कि सत्यापन तंत्र को वास्तव में कैसे बायपास किया गया था।

हैकर ने EYWA टोकन निकाले लेकिन उन्हें लिक्विडेट नहीं कर सकता

उल्लंघन से प्रभावित सबसे बड़ी संपत्तियों में से एक EYWA थी, CrossCurve का नेटिव टोकन।

हमलावर ने Ethereum नेटवर्क पर 999,787,453.03 EYWA टोकन निकाले, लेकिन टीम ने जल्दी से स्पष्ट किया कि ये टोकन प्रभावी रूप से फंसे हुए हैं और बेचे या प्रसारित नहीं किए जा सकते।

EYWA मूल रूप से Ethereum पर लॉन्च होने के बावजूद, टोकन जनरेशन इवेंट के दौरान इसकी संपूर्ण परिसंचारी आपूर्ति को Arbitrum में माइग्रेट कर दिया गया था।

परिणामस्वरूप:

• Ethereum पर EYWA के लिए कोई DEX लिक्विडिटी पूल नहीं हैं

• एकमात्र केंद्रीकृत एक्सचेंज जो Ethereum-नेटवर्क EYWA का समर्थन करता था, ने जमा फ्रीज कर दिए

• आगे की गतिविधि को रोकने के लिए शोषित ब्रिज को फ्रीज कर दिया गया है

व्यावहारिक शब्दों में, चोरी किए गए EYWA टोकन अब Ethereum पर अलग-थलग बैठे हैं, जिनके पास निकास, व्यापार या परिसंचारी आपूर्ति को प्रभावित करने का कोई मार्ग नहीं है।

CrossCurve ने जोर दिया कि Arbitrum पर रखे गए सभी EYWA पूरी तरह से सुरक्षित हैं, और उपयोगकर्ता विकेंद्रीकृत और केंद्रीकृत दोनों एक्सचेंजों पर सामान्य रूप से स्वैपिंग और ट्रेडिंग जारी रख सकते हैं।

नियंत्रण को मजबूत करने के लिए, टीम ने KuCoin, Gate, MEXC, BingX, और BitMart सहित प्रमुख ट्रेडिंग प्लेटफॉर्म से भी संपर्क किया, यह सुनिश्चित करने के लिए कि हमलावर के पास किसी भी चोरी किए गए टोकन को लिक्विडेट करने का शून्य अवसर है।

ब्रिज से अन्य टोकन सफलतापूर्वक निकाले गए

जबकि शोषण का EYWA हिस्सा निष्प्रभावी रहता है, हैकर ब्रिज इंफ्रास्ट्रक्चर से अन्य संपत्तियों की एक श्रृंखला को सफलतापूर्वक निकालने में कामयाब रहा।

चोरी किए गए टोकन की मात्रा में शामिल हैं:

3CRV, 2,578.22

USDT, 815,361

WETH, 123.59

CRV, 239,889.64

2CRV, 2,421.92

USDC, 34,820.73

WBTC, 2.64

USDB, 10,288.43

c(USD)CT, 4,199.24

frxUSD, 1,064.99

बाजार मूल्य के संदर्भ में, नुकसान को निम्न के बीच विभाजित किया गया:

• CrossCurve लिक्विडिटी पूल से $110,194.49

• Units ब्लॉकचेन से $1,331,697.82

यह पुष्टि की गई कुल $1,441,892.31 की संपत्तियों को लाता है जो सफलतापूर्वक हटा दी गईं और हमलावर के नियंत्रण में रहती हैं।

हालांकि कुछ हालिया ब्रिज शोषण की तुलना में छोटा है, उल्लंघन अभी भी एक बढ़ते इंटरऑपरेबिलिटी प्रोटोकॉल के लिए एक बड़ी सुरक्षा घटना का प्रतिनिधित्व करता है।

जांच तेज होने पर एक्सचेंज जमा फ्रीज करते हैं

CrossCurve ने शोषण से किसी भी संभावित डाउनस्ट्रीम क्षति को सीमित करने के लिए आक्रामक रूप से कदम उठाया है।

समझौता किए गए ब्रिज को फ्रीज करने के अलावा, टीम ने केंद्रीकृत एक्सचेंजों के साथ सीधे समन्वय किया, यह सुनिश्चित करने के लिए कि चोरी की गई संपत्तियों को ट्रेडिंग प्लेटफॉर्म के माध्यम से जमा, स्वैप या लॉन्डर नहीं किया जा सकता।

यह तीव्र प्रतिक्रिया हमलावर की लाभ प्राप्त करने की क्षमता को काफी कम करती है, एक रणनीति जो आधुनिक DeFi घटना नियंत्रण में तेजी से मानक अभ्यास बन गई है।

इसी समय, CrossCurve ने यह निर्धारित करने के लिए पूर्ण जांच शुरू की है:

• सटीक शोषण मार्ग

• क्या अतिरिक्त भेद्यताएं मौजूद हैं

• सत्यापन तंत्र को स्थायी रूप से कैसे मजबूत किया जाए

• किन दीर्घकालिक प्रोटोकॉल अपग्रेड की आवश्यकता है

टीम ने चोरी किए गए फंड की संभावित वापसी के बारे में संपर्क शुरू करने के लिए हमलावर के लिए 72 घंटे की विंडो भी जारी की है, DeFi घटनाओं में एक सामान्य दृष्टिकोण जो कभी-कभी आंशिक या पूर्ण वसूली में परिणत होता है।

इस बीच, ब्लॉकचेन फोरेंसिक ट्रैकिंग हमलावर के व्यापक नेटवर्क की पहचान करने के लिए संबंधित वॉलेट और लेनदेन प्रवाह को सक्रिय रूप से मैप कर रही है।

क्रॉस-चेन ब्रिज सुरक्षा के लिए एक और चेतावनी संकेत

CrossCurve का शोषण ब्रिज-केंद्रित हमलों की बढ़ती सूची में जुड़ता है जो हर साल क्रिप्टो इकोसिस्टम से सैकड़ों मिलियन निकालना जारी रखते हैं।

जबकि DeFi में स्मार्ट कॉन्ट्रैक्ट ऑडिटिंग में सुधार हुआ है, क्रॉस-चेन मैसेजिंग सिस्टम जटिल, खंडित और पूरी तरह से सुरक्षित करना मुश्किल बने हुए हैं, जिनमें अक्सर ऑफचेन रिलेयर, सत्यापन परतें और कस्टम सत्यापन लॉजिक शामिल होते हैं।

एक एकल गुम जांच, जैसा कि इस घटना में देखा गया, सेकंडों में बड़े पैमाने पर पूल की गई लिक्विडिटी को उजागर कर सकती है।

प्रोटोकॉल के लिए, यह निम्न के लिए तत्काल आवश्यकता को उजागर करता है:

• ब्रिज लॉजिक का औपचारिक सत्यापन

• रिडंडेंट सत्यापन सिस्टम

• बड़े क्रॉस-चेन स्थानान्तरण पर समय विलंब

• निरंतर रीयल-टाइम मॉनिटरिंग

• एकल पूल के बजाय खंडित लिक्विडिटी

उपयोगकर्ताओं के लिए, यह इस बात को पुष्ट करता है कि ब्रिज विकेंद्रीकृत इंफ्रास्ट्रक्चर के सबसे उच्च-जोखिम वाले घटकों में से एक बने रहते हैं, भले ही अनुभवी टीमों और प्रमुख उद्योग हस्तियों द्वारा समर्थित हों।

हालांकि CrossCurve ने क्षति को रोकने और उपयोगकर्ता फंड की रक्षा करने के लिए तेजी से काम किया, शोषण इस बात को रेखांकित करता है कि जब छोटी कार्यान्वयन त्रुटियां भी मौजूद होती हैं तो इंटरऑपरेबिलिटी लेयर कितनी नाजुक हो सकती हैं।

जैसे-जैसे क्रॉस-चेन गतिविधि बढ़ती जा रही है, सत्यापन तंत्र के आसपास सुरक्षा संभवतः DeFi के अगले विकास में सबसे महत्वपूर्ण युद्धक्षेत्रों में से एक बन जाएगी।

प्रकटीकरण: यह ट्रेडिंग या निवेश सलाह नहीं है। किसी भी क्रिप्टोकरेंसी को खरीदने या किसी भी सेवा में निवेश करने से पहले हमेशा अपना शोध करें।

Twitter पर हमें फॉलो करें @nulltxnews ताकि आप नवीनतम Crypto, NFT, AI, Cybersecurity, Distributed Computing, और Metaverse समाचार से अपडेट रहें!