CrossCurve ponte de ligação cross-chain foi hackeado, perda de 3 milhões de dólares: vulnerabilidade no contrato inteligente mais um alerta

Por trás da conveniência das finanças cross-chain, vulnerabilidades de segurança assemelham-se a uma bomba de tempo, sendo detonadas repetidamente de forma semelhante, levando toda a indústria a refletir.

A 2 de fevereiro de 2026, horário de Pequim, o protocolo de liquidez cross-chain CrossCurve (antigo EYWA), apoiado pelo fundador da Curve Finance, Michael Egorov, confirmou oficialmente que seu protocolo de ponte cross-chain está sob ataque devido a uma vulnerabilidade em contratos inteligentes. Os atacantes, ao falsificarem mensagens cross-chain, contornaram a validação do gateway crítico, desencadeando o desbloqueio não autorizado de tokens, resultando no roubo de aproximadamente 3 milhões de dólares em várias blockchains.

Visão geral do incidente: por que a arquitetura de múltiplas validações falhou?

Por volta de 31 de janeiro de 2026, a organização de segurança blockchain Defimon Alerts detectou que o saldo do contrato central PortalV2 do CrossCurve caiu de cerca de 3 milhões de dólares para quase zero. O CrossCurve rapidamente publicou um aviso de emergência na plataforma X: “Nossa rede de ponte está atualmente sob ataque, com os atacantes explorando uma vulnerabilidade em um contrato inteligente. Durante a investigação, por favor, suspendam todas as interações com o CrossCurve.”

Ironicamente, o CrossCurve vinha promovendo sua arquitetura de validação múltipla na “ponte de consenso” como seu principal diferencial de segurança. Essa arquitetura integrava Axelar, LayerZero e sua própria rede de oráculos EYWA, com o objetivo de evitar pontos únicos de falha por meio de múltiplas fontes de validação independentes. Os responsáveis pelo projeto afirmaram anteriormente: “A probabilidade de múltiplos protocolos cross-chain serem atacados simultaneamente por hackers é praticamente zero.”

Análise da vulnerabilidade: uma falha fatal de validação

A análise de segurança revelou a essência técnica do ataque. A vulnerabilidade residia em uma falha aparentemente simples de validação, suficiente para comprometer todo o sistema complexo de validações múltiplas.

Caminho do ataque

O núcleo do ataque ocorreu no contrato ReceiverAxelar do CrossCurve. Este contrato é responsável por receber mensagens da rede cross-chain Axelar e executar as instruções correspondentes.

Normalmente, qualquer mensagem cross-chain a ser executada deve passar por uma validação de consenso da rede Axelar. No entanto, a função expressExecute nesse contrato apresentava uma falha fatal. Os atacantes descobriram que podiam chamar diretamente essa função, passando parâmetros de mensagens cross-chain falsificados, sem que o contrato verificasse adequadamente a origem real da mensagem.

Processo do ataque

Uma vez que a instrução falsificada fosse aceita, o contrato enviaria uma ordem de desbloqueio de tokens ao contrato PortalV2, responsável pela custódia dos ativos.

Como o contrato PortalV2 confiava totalmente nas instruções provenientes do ReceiverAxelar, ele liberava fielmente os ativos bloqueados no contrato para o endereço indicado pelo atacante. Esse processo podia ser repetido várias vezes, até que os principais ativos no contrato fossem completamente saqueados.

Repetição histórica: uma cicatriz de segurança não cicatrizada há quatro anos

Este incidente trouxe à comunidade de segurança criptográfica uma sensação de déjà vu. A especialista em segurança Taylor Monahan expressou sua surpresa: “Não posso acreditar que, após quatro anos, nada mudou.” Ela se referia ao ataque à ponte cross-chain Nomad, ocorrido em agosto de 2022, que chocou o setor. Na ocasião, a Nomad foi vítima de uma vulnerabilidade de validação de inicialização semelhante, resultando no roubo de cerca de 190 milhões de dólares. Ainda mais chocante foi o fato de que, devido à simplicidade da exploração, o incidente evoluiu para uma “corrida ao dinheiro”, com mais de 300 endereços copiando a mesma técnica para roubar fundos.

De Nomad a CrossCurve, as técnicas de ataque são essencialmente muito semelhantes: ambas derivam da insuficiência na validação da fonte das mensagens cross-chain, um elemento de segurança fundamental. Essas tragédias recorrentes evidenciam que, apesar do rápido desenvolvimento do setor, algumas normas básicas de segurança de contratos inteligentes e auditorias ainda não são efetivamente implementadas.

Reação do mercado: crise de confiança e volatilidade de preços

O incidente de segurança provocou rapidamente uma reação em cadeia no mercado. O CrossCurve, afetado pelo ataque, tinha uma relação estreita com o protocolo DeFi líder Curve Finance, cujo fundador tinha investido na primeira. Após o evento, a Curve Finance publicou rapidamente um comunicado na plataforma X, recomendando aos usuários “reavaliar suas posições e considerar retirar esses votos”, além de alertar para cautela ao interagir com “projetos de terceiros”. Essa declaração cautelosa foi amplamente interpretada como uma tentativa de se distanciar rapidamente para evitar danos à sua reputação.

Reação do mercado principal

De acordo com dados do Gate, até 2 de fevereiro de 2026, o preço do Bitcoin (BTC) caiu 2,51% nas últimas 24 horas, para $76.814.

No mesmo período, o preço do Ethereum (ETH) caiu 7,42%, para $2.271,18. Apesar de a volatilidade do mercado ser causada por múltiplos fatores, a descoberta de uma vulnerabilidade de segurança significativa em protocolos centrais do ecossistema DeFi certamente aumentou o sentimento de busca por refúgio.

Reflexão do setor: o paradoxo da segurança nas pontes cross-chain

O incidente do CrossCurve reforçou mais uma vez o consenso de que “as pontes cross-chain são o ponto mais vulnerável do mundo cripto”. Seja pelo roubo de 625 milhões de dólares na Ronin, ou pelos 325 milhões de dólares na Wormhole, ou pelo próprio ataque atual, todos confirmam essa avaliação.

O paradoxo da segurança nas pontes cross-chain reside no fato de que, para permitir a livre circulação de ativos entre diferentes blockchains, elas precisam estabelecer um centro de confiança e validação em múltiplas redes independentes, com modelos de segurança diversos. Esse centro (contrato inteligente) se uma falha lógica, torna-se um ponto único de falha de todo o pool de fundos. Mesmo com uma arquitetura de validação externa múltipla, como a do CrossCurve, uma falha na implementação do contrato pode tornar toda a proteção externa inútil.

Últimas novidades e recomendações aos usuários

Diante da contínua saída de fundos e da pressão da opinião pública, os responsáveis pelo CrossCurve adotaram medidas de crise após a exposição do incidente. Segundo sua declaração oficial mais recente, estabeleceram um prazo de 72 horas para a devolução dos fundos. Pedem aos endereços envolvidos que cooperem na devolução dos fundos enviados por engano e, de acordo com sua “política de divulgação de responsabilidade de porto seguro”, prometem oferecer até 10% dos fundos como recompensa a hackers éticos.

Se o prazo não for cumprido, os responsáveis afirmam que irão intensificar as ações, incluindo ações legais e cooperação com exchanges e emissores de stablecoins para rastrear e congelar os ativos relacionados.

O preço do Bitcoin caiu 2,51% nas 24 horas após o incidente, enquanto o Ethereum sofreu uma queda maior, de 7,42%. O mercado responde com números frios a essa crise de confiança provocada por uma falha de código.

A contagem regressiva do “porto seguro” de 72 horas do time do CrossCurve está a todo vapor. Os registros de transações no explorador blockchain mostram que os fundos roubados permanecem na carteira do atacante, sem grandes transferências. Essa tempestade desencadeada por uma linha de código de validação ausente pode terminar com uma reconciliação com hackers éticos ou evoluir para mais uma longa batalha de recuperação de ativos transnacionais, com a resposta ainda pendente.