Futures
Accédez à des centaines de contrats perpétuels
TradFi
Or
Une plateforme pour les actifs mondiaux
Options
Hot
Tradez des options classiques de style européen
Compte unifié
Maximiser l'efficacité de votre capital
Trading démo
Introduction au trading futures
Préparez-vous à trader des contrats futurs
Événements futures
Participez aux événements et gagnez
Demo Trading
Utiliser des fonds virtuels pour faire l'expérience du trading sans risque
Lancer
CandyDrop
Collecte des candies pour obtenir des airdrops
Launchpool
Staking rapide, Gagnez de potentiels nouveaux jetons
HODLer Airdrop
Conservez des GT et recevez d'énormes airdrops gratuitement
Launchpad
Soyez les premiers à participer au prochain grand projet de jetons
Points Alpha
Tradez on-chain et gagnez des airdrops
Points Futures
Gagnez des points Futures et réclamez vos récompenses d’airdrop.
Investissement
Simple Earn
Gagner des intérêts avec des jetons inutilisés
Investissement automatique
Auto-invest régulier
Double investissement
Profitez de la volatilité du marché
Staking souple
Gagnez des récompenses grâce au staking flexible
Prêt Crypto
0 Fees
Mettre en gage un crypto pour en emprunter une autre
Centre de prêts
Centre de prêts intégré
Plus
CrossCurve a été confrontée à une menace de litige après une attaque sur les services de piratage de son infrastructure cross-chain
Le projet CrossCurve, anciennement connu sous le nom d’EYWA, a été au centre d’un incident de sécurité sérieux lorsque des hackers inconnus ont utilisé des services de piratage de contrats intelligents pour mener une attaque ciblée sur le mécanisme de transfert de tokens entre blockchains. En conséquence de cette compromission d’environ trois millions de dollars, l’équipe du projet a annoncé l’initiation de mesures juridiques contre les personnes impliquées et leur a donné un délai de 72 heures pour restituer les fonds.
Adresses détectées et réponse initiale
L’équipe CrossCurve a rapidement identifié dix adresses Ethereum vers lesquelles les actifs volés ont été transférés immédiatement après l’incident. Le directeur général Boris Povar a expliqué que la vulnérabilité dans le protocole de transfert avait été exploitée pour un retrait non autorisé des fonds des utilisateurs. Au début, la direction du projet a supposé que les destinataires pouvaient ne pas être conscients du caractère illicite des fonds reçus. Cependant, cette approche bienveillante était conditionnée par un délai de trois jours pour un retour volontaire des actifs et pour établir un contact direct avec les parties impliquées.
En l’absence d’accord pour résoudre le conflit, CrossCurve a promis une escalade jusqu’à des poursuites pénales, la collaboration avec des échanges de cryptomonnaies pour geler les actifs compromis, ainsi qu’une coopération internationale avec les autorités et les sociétés d’analyse blockchain.
Envergure des pertes réparties sur plusieurs réseaux
La plateforme d’analyse Defimons, spécialisée dans la surveillance de la sécurité blockchain et gérée par Decurity, a révélé que le préjudice financier total s’élève à environ trois millions de dollars, répartis sur différents réseaux blockchain. Selon des estimations parallèles de BlockSec, leader dans la sécurité des systèmes distribués, les pertes atteindraient environ 2,76 millions de dollars.
Une ventilation détaillée montre que le réseau Ethereum a subi les pertes les plus importantes, d’un montant de 1,3 million de dollars, tandis que le système Arbitrum a enregistré des pertes d’environ 1,28 million de dollars. Des montants supplémentaires ont été enregistrés sur les réseaux Optimism, Base, Mantle, Kava, Frax, Celo et Blast, soulignant la diversité des vecteurs d’attaque utilisés. CrossCurve n’a pas encore publié d’évaluation officielle du montant total des actifs affectés, ayant contacté via le média Decrypt des experts pour une analyse complémentaire.
Raisons techniques : vérification insuffisante et chaîne de confiance
L’équipe de BlockSec a expliqué le mécanisme de la compromission : le problème principal résidait dans un système de vérification inadéquat des messages inter-réseaux, transmis entre différentes blockchains. Lorsqu’un message arrive dans le réseau cible, le système doit en vérifier l’authenticité, mais dans ce cas, le contrat a accepté des données falsifiées comme légitimes et a exécuté les instructions de retrait.
Les analystes de BlockSec ont souligné une vulnérabilité critique dans l’architecture des ponts cross-chain : beaucoup de ces systèmes reposent sur une seule couche de vérification. Si cette couche est compromise ou contournée, toute la chaîne de confiance s’effondre. Dan Dadybayo, chef du département de recherche scientifique et de développement stratégique chez Unstoppable Wallet, a expliqué à Decrypt que le problème ne venait pas du protocole principal Axelar, mais du contrat personnalisé ReceiverAxelar, conçu par CrossCurve lui-même pour traiter les messages inter-réseaux sans un niveau d’authentification suffisant.
Parallèles historiques et leçons systémiques
L’histoire connaît des incidents similaires. Le piratage du pont Nomad en 2022 a révélé des vulnérabilités analogues dans la logique de vérification. Dadybayo a souligné que le principal défi en matière de sécurité pour les systèmes cross-chain ne réside pas dans le simple transport des messages, mais dans la garantie d’une authentification complète avant toute action. Les receveurs personnalisés sont souvent le maillon le plus faible dans la chaîne de protection.
Tant que les ponts cross-chain concentrent d’importants volumes de liquidités et que chaque projet développe sa propre logique de vérification, ces systèmes restent une cible privilégiée pour les attaques de piratage et les attaques ciblées dans l’écosystème DeFi. L’incident CrossCurve rappelle que l’architecture complexe des solutions cross-chain exige non seulement une expertise technique, mais aussi une refonte radicale des modèles de sécurité.