DeFi 领域又遭遇了一起新的安全事件,Crosscurve 黑客攻击事件凸显了人们对跨链协议和链上基础设施日益增长的担忧。
去中心化跨链流动性协议CrossCurve证实,其桥接基础设施遭到攻击,估计损失约为300 万美元。该团队在检测到其部署的智能合约之一受到可疑活动影响后,披露了这起事件。
此次漏洞利用事件正值加密货币攻击普遍增加之际。此外,安全公司也发出警告,称复杂的威胁正日益针对跨链桥和流动性路由系统。
该协议称,此次攻击影响了其跨链桥接组件,该组件依赖多个智能合约在不同网络间转移资产。不过,团队迅速发布公开警告,并在调查期间暂停用户交互。
此次攻击针对的是 CrossCurve 架构中一个特定的智能合约漏洞。在 2026 年 10 月 26 日于其官方X账号发布的紧急通知中,该团队敦促用户立即停止与该协议交互,以便对情况进行评估。
CrossCurve发布声明称,其桥接系统“目前正遭受攻击”,系统使用的某个合约存在漏洞,该漏洞正被利用。因此,该项目强调,在发布进一步更新之前,用户应“暂停与CrossCurve的所有交互”。
据安全公司Decurity运营的自动化监控账户Defimon Alerts报告,该漏洞允许攻击者滥用 ReceiverAxelar 合约。此外,据报道,该漏洞还允许使用伪造的跨链消息调用expressExecute函数。
DeFi mon Alerts 的博文解释说,恶意调用绕过了网关验证,触发了PortalV2合约的未经授权解锁。链上数据显示,通过这种机制,PortalV2 在多个网络上被盗走了约300 万美元。
在后续更新中,CrossCurve表示,他们已追踪到此次漏洞利用的资金流向了10个接收了源自该事件的代币的钱包地址。该团队强调,这些地址可能并非恶意行为者的账户,并且目前“没有迹象表明这些持有者存在恶意意图”。
然而,CrossCurve指出,这些代币是由于智能合约漏洞而被“非法窃取”的。该项目呼吁接收者配合,并要求他们归还已转入其钱包的数字资产。
作为缓解策略的一部分,该协议启动了其SafeHarbor 白帽政策,向协助追回资金的人员提供高达10%的奖励。团队澄清,任何出于善意行事的人员,如果剩余资金得以追回,均有资格获得追回金额的 10%。
公告还提供了一个专门的联系邮箱,用于协调处理。此外,CrossCurve表示,希望保持匿名的个人可以根据SafeHarbor框架,将泄露的资产直接发送到指定的钱包地址。
CrossCurve 遭到黑客攻击后,官方设定了严格的时间限制。CrossCurve 警告称,如果在区块高度24364392之后的72 小时内没有收到任何联系,且资金没有返还,团队将把此次事件视为恶意攻击。
在这种情况下,该项目表示将通过多种渠道升级此事。这些渠道包括提起刑事诉讼、启动潜在的民事诉讼,以及与中心化交易所和稳定币发行方合作,尽可能冻结相关资产。
此外,CrossCurve承诺将与区块链分析公司和执法机构合作。该团队还表示,如果缺乏合作,他们将公开与此次漏洞利用相关的钱包数据。
CrossCurve事件进一步加剧了去中心化金融平台遭受高调攻击的案例。报告援引的数据显示, 2026年1月,黑客窃取了整个行业近4亿美元的数字资产。
安全公司CertiK仅在当月就记录了40 多起重大安全事件,凸显了当前威胁环境的严峻程度。此外,由于跨链协议和复杂的流动性系统承载着大量资产,它们也日益成为攻击目标。
此次攻击事件激增,是在加密货币行业已经遭受重创的一年之后发生的。 2025年,与加密货币相关的盗窃造成的总损失超过10亿美元,成为此类事件有记录以来最严重的一年,也凸显了该行业持续存在的结构性漏洞。
在此背景下,CrossCurve 案例表明,单个智能合约漏洞如何波及多个网络和用户钱包。这也解释了为什么项目方要依靠白帽激励机制和协调一致的应对措施来限制漏洞利用造成的损失。
总而言之,CrossCurve 漏洞利用、SafeHarbor 的应对措施以及 2025 年和 2026 年 1 月的更广泛统计数据都强调了在桥接漏洞暴露时,需要更强大的安全实践、更严格的代码审计和更快的跨行业合作。