Инцидент произошел в ночь на 1 февраля. Официальное сообщение появилось в воскресенье поздно вечером в соцсети «Х», где команда проекта подтвердила использование уязвимости в смарт-контрактах.
Злоумышленник воспользовался ошибкой проверки межсетевых сообщений, в результате чего удалось провести атаку на смарт-контракты моста в сетях Base и Arbitrum. Функция expressExecute в контракте ReceiverAxelar принимала поддельные данные без подтверждения оригинальной транзакции, что позволило разблокировать токены в контракте PortalV2 без реального перевода активов.
Генеральный директор проекта опубликовал десять адресов кошельков, связанных с утечкой, и предложил вернуть средства в течение 72 часов с вознаграждением до десяти процентов от суммы. При отказе от возврата протокол намерен обратиться в правоохранительные органы и инициировать гражданские иски.
Изображение - ChatGPT
Пользователям рекомендовали немедленно прекратить все операции с протоколом до завершения расследования. Вопрос компенсации убытков пострадавшим держателям токенов остается открытым. Протокол проводит аудит затронутых контрактов и координирует действия с партнерами для возможной заморозки активов.
Инцидент вновь привлек внимание к рискам кроссчейн-инфраструктуры. Ранее подобные уязвимости становились причиной многомиллионных потерь в проектах Ronin Bridge, Wormhole и Nomad.