跨鏈協議 CrossCurve 遭駭 300 萬美元！CEO 發 72 小時歸還最後通牒

跨鏈橋協議 CrossCurve 週日遭駭客利用智能合約漏洞攻擊，損失約 300 萬美元。攻擊者透過偽造跨鏈訊息繞過 Axelar 閘道驗證，直接觸發資金解鎖。CrossCurve 執行長已公布 10 個接收贓款的錢包地址，並開出 72 小時歸還期限與 10% 漏洞賞金。 （前情提要：突發！Curve穩定池遭「駭客攻擊」損失2676萬鎂、CRV重挫20%） （背景補充：重入攻擊是什麼？Curve池內的7000萬美元怎麼丟的？）   跨鏈橋協議再度成為駭客的提款機。CrossCurve 於週日晚間在 X 平台緊急公告，確認旗下智能合約遭到攻擊，約 300 萬美元資金在多條區塊鏈網路上被盜。協議方已要求所有用戶立即暫停與 CrossCurve 的一切互動，並展開全面調查。 攻擊手法：偽造跨鏈訊息繞過閘道驗證 據區塊鏈安全機構 Decurity 旗下的 Defimon Alerts 分析，此次攻擊的核心手法是利用 CrossCurve 的 ReceiverAxelar 合約中的漏洞。攻擊者透過偽造的跨鏈訊息呼叫 expressExecute 函數，成功繞過 Axelar 閘道的驗證機制，直接觸發 PortalV2 合約上的資金解鎖（unlock）操作。 簡言之，攻擊者不需要真正完成跨鏈傳輸，僅靠偽裝的訊息就能讓合約誤以為收到了合法的跨鏈請求，進而釋放鎖定資金。這是跨鏈橋架構中訊息驗證環節的典型安全缺陷——一旦閘道驗證被繞過，整個資金安全體系便形同虛設。 CEO 開出 72 小時最後通牒 CrossCurve 執行長 Boris Povar 在事發後迅速回應，公布了 10 個接收被盜代幣的錢包地址，並向攻擊者發出明確訊息：若在 72 小時內歸還資金，可保留 10% 作為漏洞賞金。 Povar 表示： 「這些代幣是因智能合約漏洞而從用戶手中被非法取走的。」 他同時警告，若期限內資金未歸還，CrossCurve 將把此事視為司法案件，啟動法律訴訟、資產凍結，並與執法機構全面合作追查。 Curve Finance 發布警告，建議用戶撤回投票 作為合作夥伴的 Curve Finance 也隨即對用戶發出警告，建議檢視並考慮撤回對 CrossCurve 相關流動性池的投票。這意味著此次事件的影響範圍可能不僅限於 CrossCurve 本身，與其整合的 DeFi 生態系統都需要重新評估風險敞口。 跨鏈橋安全：DeFi 的阿基里斯之踵 跨鏈橋一直是 DeFi 領域中最容易遭到攻擊的基礎設施之一。從 2022 年 Wormhole 的 3.2 億美元被盜、Ronin Bridge 的 6.25 億美元遭駭，到此次 CrossCurve 事件，跨鏈橋的安全問題始終未能根治。 核心原因在於跨鏈橋必須在不同區塊鏈之間傳遞和驗證訊息，這個過程涉及的攻擊面遠大於單鏈應用。此次 CrossCurve 事件再次提醒用戶：在使用跨鏈服務前，務必確認協議的安全審計紀錄，並避免將大額資金長期放置於跨鏈橋合約中。 相關報導 又一 DeFi 協議遭駭？借貸協議 Moonwell 疑似遭駭客攻擊，損失超過 100 萬美元 老牌 DeFi 協議 Balancer 的駭客光顧史：5 年遭遇 6 次安全事故，總損失上億美元 Curve漏洞被駭，也許讓駭客攻擊DeFi有了新思路 一鍵互動到「一鍵爆倉」，DeFi 便利所帶來的致命陷阱〈跨鏈協議 CrossCurve 遭駭 300 萬美元！CEO 發 72 小時歸還最後通牒〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。