CrossCurve Bridge использовали за $3 млн после поддельных кросс-чейн-сообщений

• Злоумышленники обходили проверку шлюза, используя поддельные кроссчейн-сообщения для разблокировки средств.
• Эксплойт потребовал примерно 3 миллиона долларов из контракта CrossCurve PortalV2 по нескольким сетям.
• CrossCurve выявил десять кошельков получателей и активировал свою политику вознаграждения 10% WhiteHat.

CrossCurve, децентрализованный кросс-чейн-протокол ликвидности, ранее известный как EYWA, подтвердил, что инфраструктура его мостов была использована, что привело к потерям около 3 миллионов долларов.

Эта атака способствует значительному росту числа краж криптовалют. Только в январе 2026 года в отрасли было украдено почти 400 миллионов долларов. По данным CertiK, за месяц было зафиксировано более 40 крупных инцидентов, связанных с безопасностью.

Поддельные сообщения обходили валидацию

Эксплойт был направлен на отсутствующую проверку валидации в одном из смарт-контрактов CrossCurve. Согласно Defimon Alerts, любой может вызвать функцию expressExecute на контракте ReceiverAxelar с помощью поддельного кросс-чейн-сообщения.

Это обходило проверку шлюза и запускало неавторизованные разблокировки токена на контракте PortalV2 протокола. Данные Arkham показали, что баланс PortalV2 снизился примерно с $3 миллионов до почти нуля примерно 31 января, при этом средства были утечены по нескольким сетам.

Позже BlockSec оценил общие убытки примерно в 2,76 миллиона долларов. Около 1,3 миллиона долларов было потеряно на Ethereum и около 1,28 миллиона на Arbitrum. Дополнительные потери были зафиксированы на Optimism, Base, Mantle, Kava, Frax, Celo и Blast.

Механизм эксплойта напоминал сбой моста Nomad в 2022 году, когда ошибочная проверка проверки привела к быстрому утрачению средств сотнями кошельков.

Экстренное реагирование и идентификация кошелька

После атаки CrossCurve выпустила срочное уведомление с просьбой прекратить все взаимодействия на время расследования проблемы. Позже команда подтвердила, что идентифицировала десять адресов Ethereum, получивших токены, происходящие из эксплойта.

CrossCurve заявила , что средства были изъяты из-за недостатка смарт-контракта и на данном этапе не предполагала злого умысла. Протокол использовал свою политику SafeHarbor WhiteHat, предлагая вознаграждение до 10% любой стороне, которая вернёт оставшиеся средства.

Также это позволяло осуществлять прямую согласованность через электронную почту или анонимное вознаграждение на назначенный кошелек. Однако предупреждается, что если не будет установлено никакого контакта и средства не будут возвращены в течение 72 часов от блока 24364392, инцидент будет считаться злонамеренным.

Меры эскалации включают уголовные обращения, гражданские судебные разбирательства, сотрудничество с централизованными биржами и эмитентами стейблкоинов для заморозки активов, публичное раскрытие данных кошельков и координацию с аналитическими компаниями блокчейна и правоохранительными органами.

Связанно: Взлом протокола Truebit вызвал рекордные комиссии Uniswap на фоне 100% дампа TRU