CrossCurve 遭骇 300 万美元蒸发！伪造讯息攻破多链桥

跨链流动性协议CrossCurve周日证实遭攻击，智能合约验证漏洞导致多链损失约3,000,000美元。 攻击者通过伪造讯息绕过ReceiverAxelar合约验证，手法类似2022年Nomad骇客事件。 该项目曾获 Curve Finance 创始人投资并筹集 7,000,000 美元。

CrossCurve 紧急证实桥接网络遭攻击

CrossCurve 在 X 平台发布紧急公告：「我们的桥接网络目前正遭受攻击，攻击者利用了某个智能合约中的漏洞。 在调查进行期间，请暂停与 CrossCurve 的所有互动。」这则简短声明证实了社群的担忧，但并未提供攻击细节或损失规模的官方数据。

根据Arkham Intelligence追踪数据，CrossCurve的PortalV2合约余额在1月31日左右从约3,000,000美元急剧下降至接近零。 这种资金的完全耗尽显示攻击者成功绕过了所有安全机制，将合约中的资产几乎全部转移。 更令人担忧的是，漏洞影响并非局限于单一区块链，而是跨越了 CrossCurve 支持的多个网络，显示这是一次系统性的安全失效。

CrossCurve 定位为跨链去中心化交易所（DEX）和共识桥协议，由 CrossCurve 团队与 Curve Finance 合作建造。 该平台采用所谓的「共识桥」机制，透过 Axelar、LayerZero 以及自身的 EYWA 预言机网络等多个独立验证协议路由交易，旨在减少单点故障风险。 然而，这次攻击证明，即使采用多重验证架构，只要单一合约存在致命漏洞，整个系统依然可能崩溃。

该项目先前曾在文件中强调其安全架构是关键差异化优势，并指出「多个跨链协议同时被黑客攻击的机率几乎为零」。 讽刺的是，这次攻击并非针对多个跨链协议，而是直接绕过了CrossCurve自身的验证逻辑，使得多重验证架构形同虚设。

闸道验证绕过漏洞攻击路径全解析

区块链安全机构 Defimon Alerts 迅速发布了技术分析报告，揭示了攻击者的具体手法。 核心漏洞位于CrossCurve的ReceiverAxelar合约中，该合约负责接收来自Axelar跨链网络的信息。 正常情况下，这些讯息应该经过严格的闸道验证，确保只有经过 Axelar 网络共识的合法讯息才能被执行。

然而，分析显示，ReceiverAxelar 合约中的expressExecute 函数存在致命缺陷。 任何人都可以直接调用该函数，并传入伪造的跨链讯息参数，而合约并未对讯息来源进行充分验证。 这种缺失使得攻击者能够绕过预期的 Axelar 网关验证流程，直接向合约注入恶意指令。

一旦伪造信息被 expressExecute 函数接受，就会触发协议 PortalV2 合约上的代币解锁逻辑。 PortalV2 是 CrossCurve 的核心资产托管合约，负责锁定和释放跨链桥接的代币。 由于该合约信任来自 ReceiverAxelar 的指令，当伪造讯息指示「用户已在源链锁定代币，请在目标链释放代币」时，PortalV2 会无条件执行，将本不应释放的代币转移给攻击者。

攻击流程可简化为以下步骤

· 攻击者构造伪造的跨链讯息，声称已在源链存入大量资产

· 直接调用 ReceiverAxelar 合约的 expressExecute 函数，传入伪造讯息

· 由于缺少验证检查，合同接受伪造信息并触发 PortalV2 解锁

· PortalV2 将代币转移至攻击者指定地址，完成盗取

这种攻击手法的可怕之处在于其可重复性。 一旦发现漏洞，攻击者可以反复调用expressExecute函数，每次伪造不同的讯息来提取不同的代币，直到PortalV2合约被完全耗尽。 从 Arkham Intelligence 的数据来看，攻击者确实执行了多次交易，系统性地清空了合约中的所有主要资产。

重演Nomad悲剧：四年过去漏洞依旧

这起CrossCurve攻击事件让加密安全专家们想起了2022年8月的Nomad桥接漏洞。 当时，Nomad 因为类似的验证绕过问题损失了 190,000,000 美元，更惊人的是，超过 300 个钱包地址参与了这场「集体抢劫」，因为漏洞过于简单，任何人只需复制攻击交易并修改接收地址即可窃取资金。

安全专家 Taylor Monahan 在接受 The Block 采访时对此表示震惊：「我简直不敢相信四年过去了，情况竟然没有任何改变。」她的感叹指出了加密产业一个令人沮丧的现实，尽管每年都有数十亿美元因智能合约漏洞而损失，但同类型的错误仍在不断重演。

Nomad 与 CrossCurve 的漏洞在本质上高度相似，都源于对跨链讯息来源的验证不足。 在分布式系统中，验证「谁发送了这条消息」是最基本的安全要求，但这两个项目都在这个环节出现了致命疏忽。 Nomad 的漏洞是将默克尔树根初始化为零值，允许任何信息通过验证; CrossCurve 则是直接跳过了网关验证步骤。

更令人担忧的是，CrossCurve 曾经公开宣传其多重验证架构的安全优势。 该项目整合了 Axelar、LayerZero 和 EYWA 三重验证机制，理论上应该比单一验证方案更安全。 然而，这次攻击证明，当实现层面存在漏洞时，再复杂的架构设计也无法提供保护。 安全的关键不在于有多少层验证，而在于每一层是否都被正确实现。

从Nomad到CrossCurve的四年间，加密产业经历了多次桥接攻击，包括Ronin的625,000,000美元盗窃、Wormhole的325,000,000美元损失等。 这些事件的共同教训是，跨链桥是区块链生态系统中最脆弱的环节，因为它们必须在不同安全模型之间进行协调，任何一环的疏失都可能导致灾难性后果。

Curve Finance 背书与投资人信心危机

CrossCurve 此前最引以为傲的背书来自 Curve Finance 创始人 Michael Egorov。 2023年9月，Egorov成为该协议的投资者，这对当时刚刚更名的EYWA Protocol来说是重大利好。 Curve Finance 作为 DeFi 领域最成功的稳定币交易协议之一，其创始人的支持为 CrossCurve 带来了巨大的信誉提升。

随后，CrossCurve宣布已从创投机构筹集了7,000,000美元。 虽然项目并未公开所有投资方名单，但 Egorov 的参与无疑吸引了其他机构的跟投。 这笔资金本应用于协议开发、安全审计和生态系统扩展，然而，这次3,000,000美元的损失几乎相当于其融资额的43%，对项目的财务状况造成了严重打击。

事件发生后，Curve Finance迅速在 X 平台发布声明，与 CrossCurve 划清界线：「已向 Eywa 相关资金池分配投票的用户可能需要重新审视自己的持仓，并考虑撤销这些投票。 我们继续鼓励所有参与者在与第三方项目互动时保持警惕，并做出风险意识强的决策。”

这则声明的措辞值得玩味。 Curve Finance 没有直接谴责攻击或表达对 CrossCurve 的支持，而是提醒用户「重新审视持仓」和「撤销投票」，这暗示 Curve 团队对 CrossCurve 的安全性已经失去信心。 「第三方项目」的表述更是明确划分了责任边界，避免 Curve 自身声誉受到连带损害。

对于CrossCurve的投资人和用户而言，这次事件是一次惨痛的教训。 即使有知名创始人背书、完成了数百万美元融资、宣称采用多重安全架构，也无法保证项目的安全性。 在加密世界中，代码就是法律，任何宣传和承诺都比不上经过实战检验的智能合约安全。