CrossCurve 跨鏈橋被黑損失 300 萬美元：智能合約漏洞再敲警鐘

跨链金融的便捷性背后，安全漏洞如同定时炸弹，一次次以相似的方式被引爆，让整个行业陷入反思。

北京时间 2026 年 2 月 2 日，由 Curve Finance 創始人 Michael Egorov 背書的跨鏈流動性協議 CrossCurve（原名 EYWA） 官方確認，其跨鏈橋協議因智能合約漏洞正遭受攻擊。攻擊者通過偽造跨鏈消息，繞過了關鍵的網關驗證，觸發了未經授權的代幣解鎖，導致約 300 萬美元資金在多條鏈上被盜。

事件概述：多重驗證架構為何失效？

2026年1月31日左右，區塊鏈安全機構 Defimon Alerts 監測到 CrossCurve 的核心合約 PortalV2 餘額從約 300 萬美元驟降至近乎歸零。CrossCurve 迅速在 X 平台發布緊急公告：“我們的橋接網絡目前正遭受攻擊，攻擊者利用了某個智能合約中的漏洞。在調查進行期間，請暫停與 CrossCurve 的所有互動。”

諷刺的是，CrossCurve 此前一直將其 “共識橋” 多重驗證安全架構 作為核心賣點。該架構整合了 Axelar、LayerZero 以及其自有的 EYWA 預言機網絡，旨在通過多獨立驗證源來杜絕單點故障。項目方曾宣稱：“多個跨鏈協議同時被黑客攻擊的概率幾乎為零。”

漏洞剖析：一次致命的驗證缺失

安全分析揭示了此次攻擊的技術本質。漏洞的根源在於一個看似簡單的驗證缺失，卻足以擊穿整個複雜的多重驗證體系。

攻擊路徑

攻擊的核心發生在 CrossCurve 的 ReceiverAxelar 合約 中。該合約負責接收來自 Axelar 跨鏈網絡的消息並執行相應指令。

正常情況下，任何要執行的跨鏈消息都必須經過 Axelar 網絡的共識驗證。然而，該合約中的 expressExecute 函數存在致命缺陷。攻擊者發現，他們可以直接調用此函數，並傳入偽造的跨鏈消息參數，而合約並未對消息的真實來源進行充分校驗。

攻擊流程

一旦偽造的指令被接受，合約便會向負責資產托管的核心 PortalV2 合約發送代幣解鎖指令。

由於 PortalV2 合約完全信任來自 ReceiverAxelar 的指令，它會忠實地將合約中鎖定的各類資產釋放到攻擊者指定的地址。這一過程可以被重複執行，直至合約內的主要資產被洗劫一空。

歷史重演：四年未癒的安全傷疤

這起事件讓加密安全社群產生了強烈的既視感。安全專家 Taylor Monahan 對此表示震驚：“我簡直不敢相信四年過去了，情況竟然沒有任何改變。”她所指的，是 2022 年 8 月震驚行業的 Nomad 跨鏈橋攻擊事件。當時，Nomad 因一個類似的初始化驗證漏洞，被攻擊者盜取了約 1.9 億美元。更令人錯愕的是，由於漏洞利用方式極其簡單，在事件發生後演變成了一場“搶錢狂歡”，超過 300 個地址 纷纷複製攻擊手法參與資金竊取。

從 Nomad 到 CrossCurve，攻擊手法在本質上高度相似：都源於對跨鏈消息源這一最基本的安全要素驗證不足。這類重複發生的悲劇尖銳地指出，儘管行業在快速發展，但一些根本性的智能合約安全開發規範與審計標準並未得到有效貫徹。

市場連鎖反應：信心危機與價格波動

安全事件迅速在市場層面引發連鎖反應。此次受攻擊的 CrossCurve 與頂級 DeFi 協議 Curve Finance 關係密切，後者創始人的投資曾是前者重要的信用背書。

事件發生後，Curve Finance 官方迅速在 X 平台發表聲明，建議用戶“重新審視 自己的持倉，並考慮撤銷 這些投票”，並強調在與“第三方項目”互動時需保持警惕。這一措辭謹慎的聲明，被廣泛解讀為迅速劃清界限，以避免自身聲譽受到連帶損害。

主流市場反應

據 Gate 行情數據顯示，截至 2026 年 2 月 2 日，根據 Gate 行情數據，比特幣 (BTC) 價格在過去 24 小時內變動為 -2.51%，報 $76,814。

同期，以太坊 (ETH) 價格變動為 -7.42%，報 $2,271.18。儘管市場波動由多重因素導致，但主流DeFi 生態核心關聯協議出現重大安全漏洞，無疑加劇了市場的避險情緒。

行業反思：跨鏈橋的安全悖論

CrossCurve 事件再次將“跨鏈橋是加密世界最脆弱環節”的行業共識推至台前。無論是此前的 Ronin（損失 6.25 億美元）、Wormhole（損失 3.25 億美元），還是本次事件，都印證了這一判斷。

跨鏈橋的安全悖論在於：為了實現資產在不同區塊鏈間的自由流動，它必須在多個彼此獨立、安全模型各異的鏈環境中建立信任與驗證樞紐。這一樞紐（智能合約）一旦出現邏輯漏洞，就會成為整個資金池的單一故障點。即使像 CrossCurve 那樣設計了多重外部驗證，其自身合約的實現缺陷仍能讓所有外圍防護形同虛設。

最新進展與用戶應對

面對持續的資金外流和輿論壓力，CrossCurve 項目方在事件曝光後採取了危機應對措施。根據其官方最新聲明，項目方設置了 72 小時的資金歸還期限。項目方呼籲相關地址持有人配合歸還誤轉資金，並依據其“安全港責任披露政策”，承諾為白帽黑客提供最高 10% 的資金作為獎勵。

若規定時間內未達成和解，項目方表示將升級應對措施，包括啟動法律訴訟，並與交易所、穩定幣發行方等合作追蹤凍結相關資產。

比特幣價格在事件發生後 24 小時內下跌 2.51%，而以太坊的跌幅更深，達到 7.42%。市場用冷冰冰的數字，回應著這場因程式碼缺陷引發的信任崩塌。

CrossCurve 團隊設立的 72 小時“安全港”倒計時正在滴答作響。區塊鏈瀏覽器的交易記錄顯示，被盜資金仍在攻擊者地址中沉睡，尚未大規模轉移。這場由一行缺失的驗證程式碼引發的風暴，最終會以白帽和解收場，還是演變為又一場漫長的跨國資產追討拉鋸戰，答案仍悬在空中。