去中心化金融协议CrossCurve公布黑客关联地址

曾用名EYWA的去中心化金融协议CrossCurve近日公开表示,已识别出十个与周日代币转移系统遭攻击相关的以太坊地址。该协议周日下午披露,攻击者利用其跨链桥智能合约中的漏洞实施了入侵。跨链桥系统通常用于帮助用户在不同区块链间转移代币。

数小时后,CrossCurve首席执行官鲍里斯·波瓦尔称团队已锁定接收相关资金的十个以太坊地址。“这些代币因智能合约漏洞被不当获取,”波瓦尔表示,“我们相信这并非接收方本意,目前也没有发现恶意意图迹象。”

限期追索与法律追责

波瓦尔警告称,若七十二小时内未归还资金或建立联系,团队将“视作恶意行为并启动司法程序”。他补充说明,若未能追回资金将立即升级处理措施,包括提起刑事控告、启动民事诉讼、协调交易所与发行方冻结资产、公开披露钱包及交易数据,并与执法部门及区块链分析公司展开合作。

安全机构披露攻击细节

智能合约是在区块链上运行、根据预设规则自动执行交易的程序。区块链安全公司Decurity运营的社会账户Defimon Alerts初步评估显示,此次攻击在“多个网络”造成约三百万美元损失。漏洞使得攻击者能在CrossCurve智能合约上发送伪造的跨链信息,绕过验证机制导致跨链桥释放资金。

另一家安全公司BlockSec估算总损失约为二百七十六万美元,其中以太坊链上约一百三十万美元,Arbitrum链上约一百二十八万美元,波及Optimism、Base、Mantle、Kava、Frax、Celo及Blast等多个区块链。CrossCurve尚未公开确认安全公司的损失评估,也未公布自身统计的受影响资金规模。

漏洞根源与行业反思

BlockSec团队指出漏洞源于“验证机制缺失”:“本应验证的跨链消息未经验证,导致目标链合约误以为消息反映源链的真实交易,从而依据攻击者伪造的数据释放相应资产。”该机构补充称,此事暴露出“跨链安全仍过度依赖单一验证路径,若存在绕过检查的执行路径,整个信任体系便会崩溃”。

Unstoppable Wallet研究战略主管丹·达迪巴约分析认为:“此次攻击并非Axelar核心协议失效,而是接收端的问题。CrossCurve定制的ReceiverAxelar合约在执行跨链消息前未进行充分验证。”他提到Nomad在2022年遭遇的攻击也存在类似模式。

“跨链桥安全的核心难点不在于消息传输层,而在于确保未完成完全真实性验证前不执行任何操作,”达迪巴约强调,“定制化接收端始终是最薄弱环节。只要跨链桥继续集中流动性并依赖定制验证逻辑,就仍是去中心化金融中风险最高的领域。”