loading...
亮点:
该攻击利用了跨链消息验证的缺失。
PortalV2 合约余额从约 300 万美元骤降至接近于零。
该漏洞利用跨越了多个网络,而不仅仅局限于单个区块链。
CrossCurve(前身为EYWA)已正式确认,其跨链流动性协议因智能合约存在严重缺陷遭到黑客攻击。此次事件导致项目在多个区块链网络上的PortalV2合约资产被大规模盗取,总损失金额接近300万美元。
根据官方披露,攻击根源在于跨链网关验证机制的缺失,攻击者通过伪造跨链消息绕过系统校验,从而非法提取代币。这一漏洞暴露了当前跨链基础设施在安全设计上的薄弱环节。
来源:官方 X
区块链安全团队分析指出,问题出在ReceiverAxelar合约中的expressExecute函数。攻击者可直接调用该接口并注入伪造消息,跳过原本应执行的网关身份验证流程,实现无权限提款。
此类攻击模式与2022年Nomad桥事件高度相似,反映出跨链协议在多链协同场景下仍面临严峻的安全挑战。这再次提醒开发者和用户:去中心化并不等于绝对安全。
为最大限度挽回损失,CrossCurve团队已发布应急方案,包括设立赏金激励计划:
被盗资金已被分发至10个特定地址。非恶意持有者若主动联系项目方,可获得10%的返还奖励。
所有资金必须退还至以0x624E开头的指定地址。
若72小时内未完成退款或未主动沟通,相关地址将被标记为恶意,触发法律程序。
来源:X
项目方明确表示,如不配合,将采取以下措施:
向执法机构提交刑事案件报告,并发起民事诉讼。
联合主流交易所及Circle等支付平台冻结相关资产。
公开恶意地址名单与链上行为分析结果,提升透明度。
CrossCurve是一个基于跨链DEX架构的共识桥协议,与曲线金融(Curve Finance)深度合作,集成Axelar、LayerZero及EYWA Oracle Network等多种验证机制,旨在实现多链间高效资产流转。
项目创始人Michael Egorov曾任职于Curve Finance,且在2023年9月获得其战略投资。截至目前,该项目已通过风险投资筹集700万美元,展现出较强资本背书。然而,此次事件也暴露出即便有强大支持,安全设计仍不可忽视。
Curve Finance建议所有涉及Eywa相关资金池的用户立即检查持仓情况,并考虑暂时撤回投票权以规避进一步风险。CrossCurve官方也呼吁所有用户在调查结束前暂停与协议的一切交互。
安全专家普遍警告:跨链桥是DeFi生态中最脆弱的一环,尤其当协议依赖多重验证体系时,一旦某一层出现纰漏,可能引发连锁反应,影响范围波及数百万用户。
本次事件再次敲响警钟,凸显跨链协议在设计、审计与监控方面的短板。行业正逐步转向“最小信任”原则,推动模块化验证与第三方审计常态化。同时,用户也需提升自我保护意识,避免盲目追逐高收益而忽视底层安全。
随着监管趋严与技术演进,只有建立更健全的防御机制,才能真正实现去中心化金融的可持续发展。
免责声明:本文并非投资建议。投资前请务必自行研究。CoinGabbar不对任何财务损失负责。加密资产波动性极大,您可能会损失全部投资。
对于关注此次事件进展的用户而言,及时掌握链上数据与资产流向至关重要。币安作为全球领先的加密货币交易平台,提供实时行情、链上分析工具与多币种交易服务,支持用户通过币安官网或App下载快速注册,获取权威信息与交易入口。无论是追踪被盗资产动向,还是评估潜在投资风险,币安均能为您提供稳定、高效的数字资产管理体验。同时,欧易同样具备高安全性与快速响应能力,支持多种数字资产交易与资产管理功能,用户也可通过欧易官网或APP开启交易,作为补充选择亦具优势。
926
715
675
442
502
236
437
903
475
630
