クロスカーブで4.6億円ハッキング──スマートコントラクト脆弱性を悪用

クロスチェーン流動性プロトコルCrossCurve（クロスカーブ）は2日、スマートコントラクトの脆弱性が悪用され、ブリッジが攻撃を受けていることを発表した。同社はユーザーに対して、調査中はすべての操作を一時停止するよう注意を呼びかけている。

公式は資金受領アドレスを特定、返還協力を要請

今回の攻撃について、セキュリティ情報を発信するDefimon Alertsは、クロスカーブが複数のネットワークに渡って約300万ドル（約4.6億円）の被害を受けたと報告した。

投稿内容によると、クロスカーブ上では偽装されたクロスチェーンメッセージを用いることで、誰でもReceiverAxelarコントラクト上の「expressExecute」関数を呼び出すことができ、ゲートウェイによる正当性検証を回避できる状態にあったという。

この脆弱性により、PortalV2コントラクト上で資金のロック解除が不正に実行され、今回の被害が発生した。Defimon Alertsは攻撃の背景と併せ、被害を受けたPortalV2アドレスおよび攻撃者の複数のウォレットアドレスを公開した。

クロスカーブはその後、スマートコントラクトのエクスプロイトに起因する資金を受領したアドレスを特定したと発表。同社は、対象アドレスの保有者による行為が意図的なものとは考えておらず、悪意を示す兆候もないとした上で資金返還への協力を呼びかけている。

また同社は、ホワイトハットによって救出された資金について、返還額の最大10％を報奨金として保持できると説明した。返還連絡のための窓口として同社はメールアドレスを提示すると共に、匿名希望者向けに指定アドレスへの直接返還も可能としている。

なお、同社は「ブロック24364392」から72時間以内に資金が返還されない、連絡が取れない場合は悪意のあるものと判断すると警告。刑事当局への通報や民事訴訟による全額回収、中央集権取引所やUSDCUSDC発行体との連携による資金凍結などの手段を辞さないと強調している。

関連：マキナ・ファイナンスで7.9億円流出──DUSD・USDCのCurveプールがハッキング被害
関連：ヤーン・ファイナンスのyETHがハッキング被害──トークン価値ほぼ消失

※価格は執筆時点でのレート換算（1ドル＝155.2円）

関連銘柄：USDCeywa