跨链桥协议再度成为骇客的提款机。CrossCurve 于周日晚间在 X 平台紧急公告,确认旗下智能合约遭到攻击,约 300 万美元资金在多条区块链网路上被盗。协议方已要求所有用户立即暂停与 CrossCurve 的一切互动,并展开全面调查。
攻击手法:伪造跨链讯息绕过闸道验证
据区块链安全机构 Decurity 旗下的 Defimon Alerts 分析,此次攻击的核心手法是利用 CrossCurve 的 ReceiverAxelar 合约中的漏洞。攻击者透过伪造的跨链讯息呼叫 expressExecute 函数,成功绕过 Axelar 闸道的验证机制,直接触发 PortalV2 合约上的资金解锁(unlock)操作。
简言之,攻击者不需要真正完成跨链传输,仅靠伪装的讯息就能让合约误以为收到了合法的跨链请求,进而释放锁定资金。这是跨链桥架构中讯息验证环节的典型安全缺陷——一旦闸道验证被绕过,整个资金安全体系便形同虚设。
CEO 开出 72 小时最后通牒
CrossCurve 执行长 Boris Povar 在事发后迅速回应,公布了 10 个接收被盗代币的钱包地址,并向攻击者发出明确讯息:若在 72 小时内归还资金,可保留 10% 作为漏洞赏金。
Povar 表示:
「这些代币是因智能合约漏洞而从用户手中被非法取走的。」
他同时警告,若期限内资金未归还,CrossCurve 将把此事视为司法案件,启动法律诉讼、资产冻结,并与执法机构全面合作追查。
Curve Finance 发布警告,建议用户撤回投票
作为合作伙伴的 Curve Finance 也随即对用户发出警告,建议检视并考虑撤回对 CrossCurve 相关流动性池的投票。这意味著此次事件的影响范围可能不仅限于 CrossCurve 本身,与其整合的 DeFi 生态系统都需要重新评估风险敞口。
跨链桥安全:DeFi 的阿基里斯之踵
跨链桥一直是 DeFi 领域中最容易遭到攻击的基础设施之一。从 2022 年 Wormhole 的 3.2 亿美元被盗、Ronin Bridge 的 6.25 亿美元遭骇,到此次 CrossCurve 事件,跨链桥的安全问题始终未能根治。
核心原因在于跨链桥必须在不同区块链之间传递和验证讯息,这个过程涉及的攻击面远大於单链应用。此次 CrossCurve 事件再次提醒用户:在使用跨链服务前,务必确认协议的安全审计纪录,并避免将大额资金长期放置于跨链桥合约中。
