CrossCurve ponts inter-chaînes volés pour 3 millions de dollars : une nouvelle alerte sur les vulnérabilités des contrats intelligents

Derrière la commodité de la finance inter-chaînes, les vulnérabilités de sécurité ressemblent à une bombe à retardement, déclenchées à plusieurs reprises de manière similaire, plongeant l’ensemble du secteur dans la réflexion.

Le 2 février 2026, heure de Pékin, le protocole de liquidité inter-chaînes CrossCurve (anciennement EYWA), soutenu par Michael Egorov, fondateur de Curve Finance, a été officiellement confirmé comme étant victime d’une attaque en raison d’une faille dans le contrat intelligent. L’attaquant a falsifié des messages inter-chaînes, contournant la validation clé de la passerelle, ce qui a déclenché le déblocage non autorisé de jetons, entraînant le vol d’environ 3 millions de dollars sur plusieurs chaînes.

Aperçu de l’événement : pourquoi l’architecture de validation multiple a-t-elle échoué ?

Vers le 31 janvier 2026, l’organisme de sécurité blockchain Defimon Alerts a détecté une chute soudaine du solde du contrat principal de CrossCurve, PortalV2, d’environ 3 millions de dollars à presque zéro. CrossCurve a rapidement publié un avis d’urgence sur la plateforme X : « Notre réseau de ponts est actuellement attaqué, l’attaquant exploitant une faille dans un contrat intelligent. Pendant l’enquête, veuillez suspendre toute interaction avec CrossCurve. »

Ironiquement, CrossCurve avait auparavant mis en avant son architecture de validation multiple de son « pont de consensus » comme un argument de vente clé. Cette architecture intègre Axelar, LayerZero et son propre réseau d’oracles EYWA, visant à éliminer le point de défaillance unique en utilisant plusieurs sources de validation indépendantes. Les responsables du projet avaient déclaré : « La probabilité que plusieurs protocoles inter-chaînes soient attaqués simultanément par des hackers est presque nulle. »

Analyse de la faille : une validation fatale manquante

L’analyse de sécurité révèle la nature technique de cette attaque. La faille provient d’un défaut apparemment simple de validation, mais suffisant pour compromettre tout le système complexe de validation multiple.

Chemin de l’attaque

Le cœur de l’attaque se situe dans le contrat ReceiverAxelar de CrossCurve. Ce contrat est chargé de recevoir des messages du réseau inter-chaînes Axelar et d’exécuter les instructions correspondantes.

Normalement, tout message inter-chaînes doit être validé par le consensus du réseau Axelar. Cependant, la fonction expressExecute de ce contrat présente une faille fatale. L’attaquant a découvert qu’il pouvait appeler directement cette fonction en passant des paramètres de message inter-chaînes falsifiés, sans que le contrat ne vérifie suffisamment la provenance réelle du message.

Processus d’attaque

Une fois la commande falsifiée acceptée, le contrat envoie une instruction de déblocage de jetons au contrat PortalV2, qui gère la garde des actifs.

Étant donné que le contrat PortalV2 fait entièrement confiance aux instructions provenant de ReceiverAxelar, il libère fidèlement les actifs verrouillés dans le contrat vers l’adresse désignée par l’attaquant. Ce processus peut être répété indéfiniment, jusqu’à ce que la majorité des actifs du contrat soient pillés.

Répétition historique : une cicatrice de sécurité non cicatrisée depuis quatre ans

Cet incident a suscité une forte impression de déjà-vu dans la communauté de la sécurité cryptographique. L’experte en sécurité Taylor Monahan a exprimé sa stupéfaction : « Je n’arrive pas à croire que quatre ans se soient écoulés sans aucun changement. » Elle faisait référence à l’attaque du pont inter-chaînes Nomad en août 2022, qui a secoué l’industrie. À cette époque, Nomad, victime d’une faille d’initialisation similaire, a été dévalisée d’environ 190 millions de dollars. Plus étonnant encore, la simplicité de l’exploitation a transformé l’événement en une « fête du vol », avec plus de 300 adresses copiant la méthode pour dérober des fonds.

De Nomad à CrossCurve, les méthodes d’attaque sont fondamentalement très similaires : toutes résultent d’un manque de validation adéquate de la source des messages inter-chaînes, élément de sécurité de base. Ces tragédies répétées soulignent de manière aiguë que, malgré le développement rapide du secteur, certaines normes fondamentales de sécurité et d’audit des contrats intelligents ne sont pas appliquées efficacement.

Réaction du marché : crise de confiance et volatilité des prix

L’incident a rapidement déclenché une réaction en chaîne sur le marché. CrossCurve, victime de l’attaque, est étroitement liée à Curve Finance, un protocole DeFi de premier plan, dont le fondateur avait investi dans CrossCurve, apportant une crédibilité importante.

Après l’incident, Curve Finance a rapidement publié une déclaration sur la plateforme X, conseillant aux utilisateurs de « réévaluer leurs positions et de considérer le retrait de ces votes », tout en soulignant la nécessité de rester vigilant lors de l’interaction avec des « projets tiers ». Cette déclaration prudente a été largement interprétée comme une tentative de se distancer rapidement pour éviter que sa réputation ne soit affectée.

Réaction du marché principal

Selon les données de Gate.io, au 2 février 2026, le prix du Bitcoin (BTC) a varié de -2,51 % en 24 heures, s’établissant à 76 814 dollars.

Simultanément, le prix de l’Ethereum (ETH) a chuté de -7,42 %, à 2 271,18 dollars. Bien que la volatilité du marché soit due à de multiples facteurs, la découverte d’une faille de sécurité majeure dans un protocole clé de l’écosystème DeFi a sans aucun doute renforcé l’humeur de précaution du marché.

Réflexion sectorielle : le paradoxe de la sécurité des ponts inter-chaînes

L’incident CrossCurve remet une fois de plus en avant le consensus selon lequel « le pont inter-chaînes est le maillon le plus vulnérable du monde cryptographique ». Que ce soit avec Ronin (perte de 625 millions de dollars), Wormhole (perte de 325 millions de dollars) ou cette dernière attaque, tous confirment cette conclusion.

Le paradoxe de la sécurité des ponts inter-chaînes réside dans le fait que, pour permettre la libre circulation des actifs entre différentes blockchains, ils doivent établir des hubs de confiance et de validation dans des environnements blockchain aux modèles de sécurité variés et indépendants. Si ce hub (contrat intelligent) présente une faille logique, il devient le point de défaillance unique de toute la pool de fonds. Même avec une conception de validation multiple externe comme CrossCurve, une faille dans la mise en œuvre du contrat peut rendre toutes les protections périphériques inefficaces.

Derniers développements et réponses des utilisateurs

Face à la fuite continue de fonds et à la pression de l’opinion publique, les responsables de CrossCurve ont mis en place des mesures de gestion de crise après la révélation de l’incident. Selon leur dernière déclaration officielle, ils ont fixé un délai de 72 heures pour le remboursement des fonds.

Ils appellent les détenteurs d’adresses concernées à coopérer pour restituer les fonds accidentellement transférés, et, conformément à leur « politique de divulgation responsable », ont promis d’offrir jusqu’à 10 % des fonds en récompense aux hackers éthiques.

Si aucune résolution n’est trouvée dans le délai imparti, les responsables indiquent qu’ils intensifieront leurs mesures, notamment en lançant des poursuites judiciaires et en collaborant avec les échanges et les émetteurs de stablecoins pour suivre et geler les actifs concernés.

Le prix du Bitcoin a chuté de 2,51 % dans les 24 heures suivant l’incident, tandis que celui de l’Ethereum a connu une baisse plus marquée de 7,42 %. Le marché répond à cette crise de confiance, déclenchée par une faille de code, par des chiffres froids.

Le compte à rebours de 72 heures pour le « port de sécurité » mis en place par l’équipe CrossCurve retentit. Les enregistrements de transactions sur le navigateur blockchain montrent que les fonds volés dorment toujours dans l’adresse de l’attaquant, sans transfert massif à ce jour. La tempête déclenchée par une ligne de code manquante dans la validation pourrait se conclure par une résolution amiable avec un hack blanc, ou évoluer en une longue bataille transnationale pour la récupération des actifs. La réponse reste suspendue à l’incertitude.