Протокол децентрализованных финансов CrossCurve, ранее известный как EYWA, вновь столкнулся с проблемами. В воскресенье команда проекта обнаружила серьезную уязвимость в смарт-контракте, управляющем кроссчейн-переводами, что позволило злоумышленнику перевести активы пользователей на несколько сторонних адресов.
Генеральный директор CrossCurve, Борис Повар, отметил, что проблема заключалась в ошибке логики смарт-контракта, которая открыла доступ к обходу механизма проверки сообщений. В результате было выявлено десять адресов в Ethereum, на которые были выведены активы.
Повар также подчеркнул, что средства были потеряны не по вине пользователей. Если в течение 72 часов не будет возврата средств, команда будет расценивать это как злонамеренные действия и примет юридические меры, включая обращение в правоохранительные органы и сотрудничество с криптобиржами.
Оценка ущерба варьируется: по данным Defimon Alerts, потери составляют около $3 млн, тогда как BlockSec оценивает их в $2,76 млн. Проблема в недостаточной проверке сообщений приводит к серьезным последствиям для безопасности протоколов.