跨鏈流動性協議 CrossCurve 近日官方確認,其橋接系統正遭受嚴重攻擊。由於智能合約漏洞被挖礦,導致多個區塊鏈網絡損失約 300 萬鎂。CrossCurve 於週日發佈了這一消息,並敦促用戶立即停止與該協議的所有交互,以便項目組調查並修復問題。
ChiaCrossCurve團隊稱,攻擊者利用了橋接系統核心智能合約中的一個漏洞,從而實現了與代幣解鎖相關的未經授權操作。區塊鏈安全專家迅速展開調查,並指出該漏洞存在於 ReceiverAxelar 合約中,該合約的網關認證機制已被超越。具體而言,任何人都可以使用仿盤的跨鏈消息調用 expressExecute 函數,從而繞過初始安全檢查,並在 CrossCurve 的 PortalV2 合約上觸發未經授權的代幣解鎖。
鏈上數據顯示,PortalV2 的餘額在 1 月底從約 300 萬鎂下降幾乎為零,這表明此次攻擊迅速且範圍廣泛,影響了多個區塊鏈,而不僅僅是單個網絡。這引發了人們的擔憂:儘管跨鏈橋被吹捧為擁有複雜的安全架構,但即使只有一個環節出現故障,仍然可能成為嚴重的安全漏洞。
次事件引發了加密社群對2022年Nomad事件的聯想,當時類似的跨鏈橋漏洞導致了1.9億鎂的挖礦。數百個錢包地址同時發起大規模出金潮,導致協議癱瘓。許多安全專家認為,令人擔憂的是,經過多年和無數代價慘重的教訓之後,跨鏈橋的系統性漏洞仍然不斷出現。一些業內人士甚至表示失望,因為舊的攻擊模式似乎並未得到徹底解決。
CrossCurve(前身為 EYWA Protocol)是一個跨鏈去中心化交易所 (DEX) 項目,集成了共識橋,由 EYWA 與 Curve Finance 合作開發。CrossCurve 的點擊特性在於其“共識橋”機制,其中機制通過多個獨立的驗證層(例如Axelar、LayerZero 和 EYWA 的內部預言機網絡)進行路由,從而下降單點故障風險。在事件發生之前,該項目點擊多個跨鏈協議同時遭受攻擊的概率極低,這是其關鍵的競爭優勢。
