跨鏈橋協議 CrossCurve 週日遭駭客利用智能合約漏洞攻擊,損失約 300 萬美元。攻擊者透過偽造跨鏈訊息繞過 Axelar 閘道驗證,直接觸發資金解鎖。CrossCurve 執行長已公布 10 個接收贓款的錢包地址,並開出 72 小時歸還期限與 10% 漏洞賞金。
(前情提要:突發!Curve穩定池遭「駭客攻擊」損失2676萬鎂、CRV重挫20%)
(背景補充:重入攻擊是什麼?Curve池內的7000萬美元怎麼丟的?)
跨鏈橋協議再度成為駭客的提款機。CrossCurve 於週日晚間在 X 平台緊急公告,確認旗下智能合約遭到攻擊,約 300 萬美元資金在多條區塊鏈網路上被盜。協議方已要求所有用戶立即暫停與 CrossCurve 的一切互動,並展開全面調查。
攻擊手法:偽造跨鏈訊息繞過閘道驗證
據區塊鏈安全機構 Decurity 旗下的 Defimon Alerts 分析,此次攻擊的核心手法是利用 CrossCurve 的 ReceiverAxelar 合約中的漏洞。攻擊者透過偽造的跨鏈訊息呼叫 expressExecute 函數,成功繞過 Axelar 閘道的驗證機制,直接觸發 PortalV2 合約上的資金解鎖(unlock)操作。
簡言之,攻擊者不需要真正完成跨鏈傳輸,僅靠偽裝的訊息就能讓合約誤以為收到了合法的跨鏈請求,進而釋放鎖定資金。這是跨鏈橋架構中訊息驗證環節的典型安全缺陷——一旦閘道驗證被繞過,整個資金安全體系便形同虛設。
CEO 開出 72 小時最後通牒
CrossCurve 執行長 Boris Povar 在事發後迅速回應,公布了 10 個接收被盜代幣的錢包地址,並向攻擊者發出明確訊息:若在 72 小時內歸還資金,可保留 10% 作為漏洞賞金。
Povar 表示:
「這些代幣是因智能合約漏洞而從用戶手中被非法取走的。」
他同時警告,若期限內資金未歸還,CrossCurve 將把此事視為司法案件,啟動法律訴訟、資產凍結,並與執法機構全面合作追查。
Curve Finance 發布警告,建議用戶撤回投票
作為合作夥伴的 Curve Finance 也隨即對用戶發出警告,建議檢視並考慮撤回對 CrossCurve 相關流動性池的投票。這意味著此次事件的影響範圍可能不僅限於 CrossCurve 本身,與其整合的 DeFi 生態系統都需要重新評估風險敞口。
跨鏈橋安全:DeFi 的阿基里斯之踵
跨鏈橋一直是 DeFi 領域中最容易遭到攻擊的基礎設施之一。從 2022 年 Wormhole 的 3.2 億美元被盜、Ronin Bridge 的 6.25 億美元遭駭,到此次 CrossCurve 事件,跨鏈橋的安全問題始終未能根治。
核心原因在於跨鏈橋必須在不同區塊鏈之間傳遞和驗證訊息,這個過程涉及的攻擊面遠大於單鏈應用。此次 CrossCurve 事件再次提醒用戶:在使用跨鏈服務前,務必確認協議的安全審計紀錄,並避免將大額資金長期放置於跨鏈橋合約中。
📍相關報導📍
又一 DeFi 協議遭駭?借貸協議 Moonwell 疑似遭駭客攻擊,損失超過 100 萬美元
