跨链流动性协议 CrossCurve 近日官方确认,其桥接系统正遭受严重攻击。由于智能合约漏洞被挖矿,导致多个区块链网络损失约 300 万镁。CrossCurve 于周日发布了这一消息,并敦促用户立即停止与该协议的所有交互,以便项目组调查并修复问题。
ChiaCrossCurve团队称,攻击者利用了桥接系统核心智能合约中的一个漏洞,从而实现了与代币解锁相关的未经授权操作。区块链安全专家迅速展开调查,并指出该漏洞存在于 ReceiverAxelar 合约中,该合约的网关认证机制已被超越。具体而言,任何人都可以使用仿盘的跨链消息调用 expressExecute 函数,从而绕过初始安全检查,并在 CrossCurve 的 PortalV2 合约上触发未经授权的代币解锁。
链上数据显示,PortalV2 的余额在 1 月底从约 300 万镁下降几乎为零,这表明此次攻击迅速且范围广泛,影响了多个区块链,而不仅仅是单个网络。这引发了人们的担忧:尽管跨链桥被吹捧为拥有复杂的安全架构,但即使只有一个环节出现故障,仍然可能成为严重的安全漏洞。
次事件引发了加密社群对2022年Nomad事件的联想,当时类似的跨链桥漏洞导致了1.9亿镁的挖矿。数百个钱包地址同时发起大规模出金潮,导致协议瘫痪。许多安全专家认为,令人担忧的是,经过多年和无数代价惨重的教训之后,跨链桥的系统性漏洞仍然不断出现。一些业内人士甚至表示失望,因为旧的攻击模式似乎并未得到彻底解决。
CrossCurve(前身为 EYWA Protocol)是一个跨链去中心化交易所 (DEX) 项目,集成了共识桥,由 EYWA 与 Curve Finance 合作开发。CrossCurve 的点击特性在于其“共识桥”机制,其中机制通过多个独立的验证层(例如Axelar、LayerZero 和 EYWA 的内部预言机网络)进行路由,从而下降单点故障风险。在事件发生之前,该项目点击多个跨链协议同时遭受攻击的概率极低,这是其关键的竞争优势。
