CrossCurve跨链桥被黑损失 300 万美元：智能合约漏洞再敲警钟

За удобством межцепочечного финансирования скрываются уязвимости безопасности, подобные тайным бомбам, которые взрываются снова и снова по похожему сценарию, заставляя всю индустрию задуматься.

По состоянию на 02 февраля 2026 года, подтверждено официально, что межцепочечный протокол ликвидности CrossCurve (ранее EYWA), созданный основателем Curve Finance Майклом Егоровым, подвергается атаке из-за уязвимости в смарт-контрактах. Злоумышленники, подделав межцепочечное сообщение, обошли проверку ключевых шлюзов, что привело к несанкционированному разблокированию токенов и краже примерно 3 миллионов долларов на нескольких цепочках.

Обзор инцидента: почему отказала многоуровневая проверка?

Около 31 января 2026 года команда безопасности блокчейн-аналитики Defimon Alerts обнаружила, что баланс основного контракта PortalV2 CrossCurve резко снизился с примерно 3 миллионов долларов почти до нуля. Вскоре после этого CrossCurve выпустила срочное сообщение на платформе X: «Наша сеть мостов сейчас подвергается атаке, злоумышленники использовали уязвимость в одном из смарт-контрактов. В процессе расследования рекомендуем приостановить все взаимодействия с CrossCurve.»

Иронично, что ранее CrossCurve позиционировала свою многоуровневую проверку “консенсусного моста” как ключевое преимущество. Эта архитектура объединяет Axelar, LayerZero и собственную сеть оракулов EYWA, чтобы исключить единую точку отказа за счет использования нескольких независимых источников проверки. Разработчики заявляли: «Вероятность одновременной атаки на несколько межцепочечных протоколов практически равна нулю.»

Анализ уязвимости: смертельная недосмотренность в проверке

Технический анализ выявил суть атаки. Источник уязвимости — в казалось бы простой недосмотренности проверки, которая оказалась достаточно серьезной, чтобы разрушить всю сложную систему многоуровневой проверки.

Путь атаки

Ключевая уязвимость возникла в контракте ReceiverAxelar CrossCurve. Этот контракт отвечает за прием сообщений из межцепочечной сети Axelar и выполнение соответствующих команд.

В норме, любое межцепочечное сообщение должно проходить проверку консенсуса сети Axelar. Однако в функции expressExecute этого контракта есть критическая ошибка. Злоумышленники обнаружили, что могут напрямую вызывать эту функцию, передавая поддельные параметры межцепочечного сообщения, при этом контракт не проверяет должным образом реальный источник сообщения.

Ход атаки

После принятия поддельной команды контракт отправляет инструкции по разблокировке токенов в основной контракт PortalV2, отвечающий за хранение активов.

Поскольку PortalV2 полностью доверяет инструкциям от ReceiverAxelar, он безоговорочно высвобождает активы, заблокированные в контракте, на указанный злоумышленником адрес. Этот процесс можно повторять многократно, пока основные активы не будут полностью украдены.

Повторение истории: рана, не заживающая четыре года

Этот инцидент вызвал сильное ощущение дежавю в сообществе кибербезопасности. Эксперт по безопасности Taylor Monahan выразила шок: «Я не могу поверить, что прошло уже четыре года, а ситуация не изменилась.» Она имела в виду инцидент с межцепочечным мостом Nomad в августе 2022 года, когда из-за похожей уязвимости в инициализации проверки было украдено около 190 миллионов долларов. Еще более удивительно, что злоумышленники использовали очень простую схему атаки, и после этого началась настоящая «гонка за деньгами»: более 300 адресов скопировали методы атаки и участвовали в краже средств.

От Nomad до CrossCurve — методы атаки по сути очень похожи: все сводится к недостаточной проверке источника межцепочечных сообщений, что является фундаментальным элементом безопасности. Эти повторяющиеся трагедии ярко показывают, что, несмотря на быстрый рост индустрии, некоторые базовые стандарты разработки и аудита смарт-контрактов остаются невыполненными.

Реакция рынка: кризис доверия и колебания цен

Инцидент быстро вызвал цепную реакцию на рынке. CrossCurve, связанная с ведущими DeFi-протоколами, такими как Curve Finance, чьи основатели ранее выступали в качестве важного кредитного доверия, оказалась под ударом.

После случившегося Curve Finance быстро опубликовала заявление на платформе X, советуя пользователям «пересмотреть свои позиции и рассмотреть возможность отмены голосований», а также подчеркнула необходимость осторожности при взаимодействии с «третьими сторонами». Эти осторожные слова широко интерпретировались как попытка быстро дистанцироваться, чтобы не навредить собственной репутации.

Реакция основных участников рынка

По данным платформы Gate, по состоянию на 02 февраля 2026 года, цена биткоина (BTC) за последние 24 часа снизилась на -2.51%, до $76,814.

За тот же период цена эфира (ETH) снизилась на -7.42%, до $2,271.18. Несмотря на множество факторов, вызывающих волатильность рынка, крупные протоколы DeFi, связанные с этим событием, столкнулись с серьезными уязвимостями, что усилило настроения избегания рисков.

Размышления индустрии: парадокс безопасности межцепочечных мостов

Инцидент с CrossCurve вновь поднял вопрос о том, что «межцепочечные мосты — самые уязвимые звенья в криптомире». Это подтверждается и предыдущими случаями: Ronin (потеря 6.25 млрд долларов), Wormhole (потеря 3.25 млрд долларов), а также текущим событием.

Парадокс безопасности межцепочечных мостов в том, что для обеспечения свободного перемещения активов между разными блокчейнами необходимо создавать доверительные и проверочные узлы в среде цепочек с разными моделями безопасности. Этот узел (смарт-контракт) при наличии логической уязвимости становится единственной точкой отказа всей системы. Даже при наличии многоуровневых внешних проверок, дефекты в реализации контрактов могут свести на нет все внешние защиты.

Последние новости и рекомендации для пользователей

В условиях продолжающегося оттока средств и давления общественности команда CrossCurve приняла меры по управлению кризисом. Согласно их последнему официальному заявлению, у них установлен 72-часовой срок для возврата средств. Разработчики призвали владельцев соответствующих адресов сотрудничать и вернуть ошибочно переведенные средства, а также пообещали в рамках политики «безопасной гавани» выплатить до 10% вознаграждения за участие белых хакеров.

Если в установленный срок не будет достигнута договоренность, команда планирует усилить меры, включая запуск судебных исков и сотрудничество с биржами и эмитентами стейблкоинов для отслеживания и блокировки связанных активов.

Цена биткоина за 24 часа после инцидента снизилась на 2.51%, а эфириум потерял еще больше — 7.42%. Рынок холодными цифрами отражает крах доверия, вызванный дефектами кода.

Команда CrossCurve отсчитывает 72 часа до окончания «гавани безопасности». Записи транзакций в блокчейн-обозревателе показывают, что украденные средства все еще находятся на адресах злоумышленников и не были крупномасштабно переведены. Эта буря, вызванная отсутствием проверочного кода, может закончиться либо мирным разрешением с помощью белых хакеров, либо превращением в долгую международную битву за возврат активов — ответ пока остается неизвестен.