CrossCurve міжланцюговий міст був зламаний, збитки склали 3 мільйони доларів: знову попередження про вразливість смарт-контрактів

Зручність міжланцюгових фінансів приховує за собою безпекові вразливості, які є як таймери-бомби, що щораз вибухають у подібний спосіб, змушуючи всю індустрію замислитися.

За київським часом 2 лютого 2026 року, офіційно підтверджено, що міжланцюговий протокол ліквідності CrossCurve (раніше EYWA), заснований засновником Curve Finance Майклом Егоровим, зазнає атаки через вразливість у смарт-контракті. Зловмисники, підробляючи міжланцюгові повідомлення, обійшли ключову перевірку шлюзу, що спричинило несанкціоноване розблокування токенів, внаслідок чого близько 3 мільйонів доларів було викрадено на кількох ланцюгах.

Огляд події: чому зламалася багаторівнева архітектура перевірки?

Близько 31 січня 2026 року, блокчейн-інформаційна компанія Defimon Alerts виявила, що баланс основного контракту CrossCurve PortalV2 зменшився з приблизно 3 мільйонів доларів до майже нуля. CrossCurve швидко опублікував термінове повідомлення на платформі X: «Наша мережа мостів наразі під атакою, зловмисники використали вразливість у смарт-контракті. Поки триває розслідування, будь ласка, припиніть будь-яку взаємодію з CrossCurve.»

Іронія полягає в тому, що раніше CrossCurve позиціонував свою багаторівневу архітектуру безпеки “консенсусного мосту” як ключову перевагу. Ця архітектура інтегрує Axelar, LayerZero та власну мережу оракулів EYWA, щоб запобігти єдиній точці відмови через використання кількох незалежних джерел перевірки. Проект заявляв: «Ймовірність одночасної атаки на кілька міжланцюгових протоколів майже нульова.»

Аналіз вразливості: смертельна відсутність перевірки

Технічний аналіз показує, що ця атака має технічну природу. Вразливість виникла через просту, на перший погляд, відсутність перевірки, яка могла б зламати всю складну багаторівневу систему.

Шлях атаки

Основна частина атаки сталася у смарт-контракті CrossCurve ReceiverAxelar. Цей контракт відповідає за отримання повідомлень із міжланцюгової мережі Axelar та виконання відповідних команд.

Зазвичай будь-яке міжланцюгове повідомлення має проходити через консенсусну перевірку мережі Axelar. Однак у функції expressExecute цього контракту є фатальна помилка. Зловмисники виявили, що можуть викликати цю функцію безпосередньо, передаючи підроблені параметри міжланцюгового повідомлення, при цьому контракт не перевіряє достовірність джерела повідомлення.

Послідовність атаки

Після прийняття підробленої команди, контракт надсилає команду розблокування токенів до основного контракту PortalV2, який відповідає за зберігання активів.

Оскільки PortalV2 довіряє командами, що надходять від ReceiverAxelar, він виконує їх і розблокує всі активи, закріплені у контракті, на адресу, вказану зловмисником. Цей процес можна повторювати необмежену кількість разів, доки основні активи не будуть повністю виведені.

Історія повторюється: рани безпеки, що не загоюються вже 4 роки

Ця подія викликала сильне відчуття дежавю у спільноті безпеки криптовалют. Експерт з безпеки Тейлор Монахан висловила здивування: «Я просто не можу повірити, що пройшло вже 4 роки, а ситуація залишилася без змін.» Вона мала на увазі інцидент у серпні 2022 року, коли через схожу вразливість у початковій перевірці Nomad міжланцюгового мосту було викрадено близько 190 мільйонів доларів. Ще більш шокуючим було те, що через надзвичайно простий спосіб використання вразливості, після події почалася «бійка за гроші», і понад 300 адрес почали копіювати методи атаки для крадіжки коштів.

Від Nomad до CrossCurve, методи атаки суттєво схожі: обидва випадки базувалися на недостатній перевірці джерела міжланцюгових повідомлень — найпростіших і найважливіших елементів безпеки. Ці повторювані трагедії гостро підкреслюють, що, незважаючи на швидкий розвиток індустрії, деякі фундаментальні норми безпеки смарт-контрактів і стандарти аудиту залишаються невиконаними.

Реакція ринку: криза довіри та коливання цін

Ця безпекова подія швидко спричинила ланцюгову реакцію на ринку. Затриманий у атаці CrossCurve тісно пов’язаний із провідним DeFi-протоколом Curve Finance, засновник якого раніше інвестував у нього, що додатково підсилює довіру.

Після інциденту офіційний представник Curve Finance швидко опублікував заяву на платформі X, рекомендувавши користувачам «перевірити свої позиції та розглянути можливість скасування голосувань», а також наголосив, що при взаємодії з «третіми сторонами» слід бути обережними. Ця обережна заява широко інтерпретувалася як спроба швидко дистанціюватися, щоб уникнути поширення негативного впливу на свою репутацію.

Реакція основних ринків

За даними Gate, станом на 2 лютого 2026 року, ціна біткойна (BTC) за останні 24 години знизилася на -2.51%, до $76,814.

За цей час ціна Ethereum (ETH) знизилася на -7.42%, до $2,271.18. Хоча коливання ринку спричинені багатьма факторами, значна вразливість у ключових протоколах DeFi безумовно посилила настрої страху і невпевненості на ринку.

Роздуми галузі: парадокс безпеки міжланцюгових мостів

Інцидент із CrossCurve ще раз підкреслив поширену думку, що «міжланцюгові мости — найуразливіший ланцюг у світі криптовалют». Це підтверджують і попередні випадки, такі як Ronin (збитки 6.25 мільярдів доларів), Wormhole (збитки 3.25 мільярдів доларів) та цей інцидент.

Парадокс безпеки міжланцюгових мостів полягає в тому, що для забезпечення вільного руху активів між різними блокчейнами, їм потрібно створити довіру та перевірку у кількох незалежних та різних за моделлю ланцюгах. Ця «точка довіри» (смарт-контракт) при логічних помилках стає єдиною вразливістю всього пулу коштів. Навіть якщо проект, як CrossCurve, використовує багаторівневу зовнішню перевірку, недоліки у реалізації контракту можуть зробити всі зовнішні захисти беззмістовними.

Оновлення та рекомендації для користувачів

У відповідь на постійний відтік коштів і зростаючий тиск громадськості, команда CrossCurve після розголосу події вжила заходів кризового реагування. За їхнім офіційним повідомленням, встановлено 72-годинний термін повернення коштів. Вони закликають власників відповідних адрес співпрацювати у поверненні помилково переказаних коштів і, відповідно до «політики розкриття безпеки», обіцяють надати до 10% від суми у нагороду для білих хакерів.

Якщо у визначений термін не буде досягнуто домовленості, команда планує підвищити рівень реагування, включаючи запуск судових процесів і співпрацю з біржами, емітентами стабільних монет для блокування відповідних активів.

Ціна біткойна за 24 години після інциденту знизилася на 2.51%, а Ethereum — на 7.42%. Ринок холодним числом реагує на цю кризу довіри, викликану дефектом у коді.

Команда CrossCurve встановила таймер «безпеки» на 72 години, і його зворотній відлік вже йде. Дані блокчейн-оглядачів показують, що викрадені кошти досі зберігаються на адресах зловмисників і ще не були масово переведені. Чи завершиться ця буря, викликана однією пропущеною перевіркою, мирним врегулюванням із білими хакерами, чи перетвориться на ще одну довгу міжнародну боротьбу за активи — відповідь залишається невідомою.