DeFi 領域又遭遇了一起新的安全事件,Crosscurve 黑客攻擊事件凸顯了人們對跨鏈協議和鏈上基礎設施日益增長的擔憂。
去中心化跨鏈流動性協議CrossCurve證實,其橋接基礎設施遭到攻擊,估計損失約爲300 萬美元。該團隊在檢測到其部署的智能合約之一受到可疑活動影響後,披露了這起事件。
此次漏洞利用事件正值加密貨幣攻擊普遍增加之際。此外,安全公司也發出警告,稱複雜的威脅正日益針對跨鏈橋和流動性路由系統。
該協議稱,此次攻擊影響了其跨鏈橋接組件,該組件依賴多個智能合約在不同網絡間轉移資產。不過,團隊迅速發佈公開警告,並在調查期間暫停用戶交互。
此次攻擊針對的是 CrossCurve 架構中一個特定的智能合約漏洞。在 2026 年 10 月 26 日於其官方X賬號發佈的緊急通知中,該團隊敦促用戶立即停止與該協議交互,以便對情況進行評估。
CrossCurve發佈聲明稱,其橋接系統“目前正遭受攻擊”,系統使用的某個合約存在漏洞,該漏洞正被利用。因此,該項目強調,在發佈進一步更新之前,用戶應“暫停與CrossCurve的所有交互”。
據安全公司Decurity運營的自動化監控賬戶Defimon Alerts報告,該漏洞允許攻擊者濫用 ReceiverAxelar 合約。此外,據報道,該漏洞還允許使用僞造的跨鏈消息調用expressExecute函數。
DeFi mon Alerts 的博文解釋說,惡意調用繞過了網關驗證,觸發了PortalV2合約的未經授權解鎖。鏈上數據顯示,通過這種機制,PortalV2 在多個網絡上被盜走了約300 萬美元。
在後續更新中,CrossCurve表示,他們已追蹤到此次漏洞利用的資金流向了10個接收了源自該事件的代幣的錢包地址。該團隊強調,這些地址可能並非惡意行爲者的賬戶,並且目前“沒有跡象表明這些持有者存在惡意意圖”。
然而,CrossCurve指出,這些代幣是由於智能合約漏洞而被“非法竊取”的。該項目呼籲接收者配合,並要求他們歸還已轉入其錢包的數字資產。
作爲緩解策略的一部分,該協議啓動了其SafeHarbor 白帽政策,向協助追回資金的人員提供高達10%的獎勵。團隊澄清,任何出於善意行事的人員,如果剩餘資金得以追回,均有資格獲得追回金額的 10%。
公告還提供了一個專門的聯繫郵箱,用於協調處理。此外,CrossCurve表示,希望保持匿名的個人可以根據SafeHarbor框架,將泄露的資產直接發送到指定的錢包地址。
CrossCurve 遭到黑客攻擊後,官方設定了嚴格的時間限制。CrossCurve 警告稱,如果在區塊高度24364392之後的72 小時內沒有收到任何聯繫,且資金沒有返還,團隊將把此次事件視爲惡意攻擊。
在這種情況下,該項目表示將通過多種渠道升級此事。這些渠道包括提起刑事訴訟、啓動潛在的民事訴訟,以及與中心化交易所和穩定幣發行方合作,儘可能凍結相關資產。
此外,CrossCurve承諾將與區塊鏈分析公司和執法機構合作。該團隊還表示,如果缺乏合作,他們將公開與此次漏洞利用相關的錢包數據。
CrossCurve事件進一步加劇了去中心化金融平臺遭受高調攻擊的案例。報告援引的數據顯示, 2026年1月,黑客竊取了整個行業近4億美元的數字資產。
安全公司CertiK僅在當月就記錄了40 多起重大安全事件,凸顯了當前威脅環境的嚴峻程度。此外,由於跨鏈協議和複雜的流動性系統承載着大量資產,它們也日益成爲攻擊目標。
此次攻擊事件激增,是在加密貨幣行業已經遭受重創的一年之後發生的。 2025年,與加密貨幣相關的盜竊造成的總損失超過10億美元,成爲此類事件有記錄以來最嚴重的一年,也凸顯了該行業持續存在的結構性漏洞。
在此背景下,CrossCurve 案例表明,單個智能合約漏洞如何波及多個網絡和用戶錢包。這也解釋了爲什麼項目方要依靠白帽激勵機制和協調一致的應對措施來限制漏洞利用造成的損失。
總而言之,CrossCurve 漏洞利用、SafeHarbor 的應對措施以及 2025 年和 2026 年 1 月的更廣泛統計數據都強調了在橋接漏洞暴露時,需要更強大的安全實踐、更嚴格的代碼審計和更快的跨行業合作。