CrossCurve 遭駭 300 萬美元蒸發！偽造訊息攻破多鏈橋

跨鏈流動性協定 CrossCurve 週日證實遭攻擊，智能合約驗證漏洞導致多鏈損失約 3,000,000 美元。攻擊者透過偽造訊息繞過 ReceiverAxelar 合約驗證，手法類似 2022 年 Nomad 駭客事件。該專案曾獲 Curve Finance 創始人投資並籌集 7,000,000 美元。

CrossCurve 緊急證實橋接網路遭攻擊

CrossCurve 在 X 平台發布緊急公告：「我們的橋接網路目前正遭受攻擊，攻擊者利用了某個智能合約中的漏洞。在調查進行期間，請暫停與 CrossCurve 的所有互動。」這則簡短聲明證實了社群的擔憂，但並未提供攻擊細節或損失規模的官方數據。

根據 Arkham Intelligence 追蹤數據，CrossCurve 的 PortalV2 合約餘額在 1 月 31 日左右從約 3,000,000 美元急劇下降至接近零。這種資金的完全耗盡顯示攻擊者成功繞過了所有安全機制，將合約中的資產幾乎全部轉移。更令人擔憂的是，漏洞影響並非局限於單一區塊鏈，而是跨越了 CrossCurve 支援的多個網路，顯示這是一次系統性的安全失效。

CrossCurve 定位為跨鏈去中心化交易所（DEX）和共識橋協議，由 CrossCurve 團隊與 Curve Finance 合作建造。該平台採用所謂的「共識橋」機制，透過 Axelar、LayerZero 以及自身的 EYWA 預言機網路等多個獨立驗證協議路由交易，旨在減少單點故障風險。然而，這次攻擊證明，即使採用多重驗證架構，只要單一合約存在致命漏洞，整個系統依然可能崩潰。

該專案先前曾在文件中強調其安全架構是關鍵差異化優勢，並指出「多個跨鏈協議同時被駭客攻擊的機率幾乎為零」。諷刺的是，這次攻擊並非針對多個跨鏈協議，而是直接繞過了 CrossCurve 自身的驗證邏輯，使得多重驗證架構形同虛設。

閘道驗證繞過漏洞攻擊路徑全解析

區塊鏈安全機構 Defimon Alerts 迅速發布了技術分析報告，揭示了攻擊者的具體手法。核心漏洞位於 CrossCurve 的 ReceiverAxelar 合約中，該合約負責接收來自 Axelar 跨鏈網路的訊息。正常情況下，這些訊息應該經過嚴格的閘道驗證，確保只有經過 Axelar 網路共識的合法訊息才能被執行。

然而，分析顯示，ReceiverAxelar 合約中的 expressExecute 函數存在致命缺陷。任何人都可以直接調用該函數，並傳入偽造的跨鏈訊息參數，而合約並未對訊息來源進行充分驗證。這種缺失使得攻擊者能夠繞過預期的 Axelar 閘道驗證流程，直接向合約注入惡意指令。

一旦偽造訊息被 expressExecute 函數接受，就會觸發協議 PortalV2 合約上的代幣解鎖邏輯。PortalV2 是 CrossCurve 的核心資產託管合約，負責鎖定和釋放跨鏈橋接的代幣。由於該合約信任來自 ReceiverAxelar 的指令，當偽造訊息指示「用戶已在源鏈鎖定代幣，請在目標鏈釋放代幣」時，PortalV2 會無條件執行，將本不應釋放的代幣轉移給攻擊者。

攻擊流程可簡化為以下步驟

· 攻擊者構造偽造的跨鏈訊息，聲稱已在源鏈存入大量資產

· 直接調用 ReceiverAxelar 合約的 expressExecute 函數，傳入偽造訊息

· 由於缺少驗證檢查，合約接受偽造訊息並觸發 PortalV2 解鎖

· PortalV2 將代幣轉移至攻擊者指定地址，完成盜取

這種攻擊手法的可怕之處在於其可重複性。一旦發現漏洞，攻擊者可以反覆調用 expressExecute 函數，每次偽造不同的訊息來提取不同的代幣，直到 PortalV2 合約被完全耗盡。從 Arkham Intelligence 的數據來看，攻擊者確實執行了多次交易，系統性地清空了合約中的所有主要資產。

重演 Nomad 悲劇：四年過去漏洞依舊

這起 CrossCurve 攻擊事件讓加密安全專家們想起了 2022 年 8 月的 Nomad 橋接漏洞。當時，Nomad 因為類似的驗證繞過問題損失了 190,000,000 美元，更驚人的是，超過 300 個錢包地址參與了這場「集體搶劫」，因為漏洞過於簡單，任何人只需複製攻擊交易並修改接收地址即可竊取資金。

安全專家 Taylor Monahan 在接受 The Block 採訪時對此表示震驚：「我簡直不敢相信四年過去了，情況竟然沒有任何改變。」她的感嘆指出了加密產業一個令人沮喪的現實，儘管每年都有數十億美元因智能合約漏洞而損失，但同類型的錯誤仍在不斷重演。

Nomad 與 CrossCurve 的漏洞在本質上高度相似，都源於對跨鏈訊息來源的驗證不足。在分散式系統中，驗證「誰發送了這條訊息」是最基本的安全要求，但這兩個專案都在這個環節出現了致命疏忽。Nomad 的漏洞是將默克爾樹根初始化為零值，允許任何訊息通過驗證；CrossCurve 則是直接跳過了閘道驗證步驟。

更令人擔憂的是，CrossCurve 曾經公開宣傳其多重驗證架構的安全優勢。該專案整合了 Axelar、LayerZero 和 EYWA 三重驗證機制，理論上應該比單一驗證方案更安全。然而，這次攻擊證明，當實現層面存在漏洞時，再複雜的架構設計也無法提供保護。安全的關鍵不在於有多少層驗證，而在於每一層是否都被正確實現。

從 Nomad 到 CrossCurve 的四年間，加密產業經歷了多次橋接攻擊，包括 Ronin 的 625,000,000 美元盜竊、Wormhole 的 325,000,000 美元損失等。這些事件的共同教訓是，跨鏈橋是區塊鏈生態系統中最脆弱的環節，因為它們必須在不同安全模型之間進行協調，任何一環的疏失都可能導致災難性後果。

Curve Finance 背書與投資人信心危機

CrossCurve 此前最引以為傲的背書來自 Curve Finance 創始人 Michael Egorov。2023 年 9 月，Egorov 成為該協議的投資者，這對當時剛剛更名的 EYWA Protocol 來說是重大利好。Curve Finance 作為 DeFi 領域最成功的穩定幣交易協議之一，其創始人的支持為 CrossCurve 帶來了巨大的信譽提升。

隨後，CrossCurve 宣布已從創投機構籌集了 7,000,000 美元。雖然專案並未公開所有投資方名單，但 Egorov 的參與無疑吸引了其他機構的跟投。這筆資金本應用於協議開發、安全審計和生態系統擴展，然而，這次 3,000,000 美元的損失幾乎相當於其融資額的 43%，對專案的財務狀況造成了嚴重打擊。

事件發生後，Curve Finance 迅速在 X 平台發布聲明，與 CrossCurve 劃清界線：「已向 Eywa 相關資金池分配投票的用戶可能需要重新審視自己的持倉，並考慮撤銷這些投票。我們繼續鼓勵所有參與者在與第三方項目互動時保持警惕，並做出風險意識強的決策。」

這則聲明的措辭值得玩味。Curve Finance 沒有直接譴責攻擊或表達對 CrossCurve 的支持，而是提醒用戶「重新審視持倉」和「撤銷投票」，這暗示 Curve 團隊對 CrossCurve 的安全性已經失去信心。「第三方項目」的表述更是明確劃分了責任邊界，避免 Curve 自身聲譽受到連帶損害。

對於 CrossCurve 的投資人和用戶而言，這次事件是一次慘痛的教訓。即使有知名創始人背書、完成了數百萬美元融資、宣稱採用多重安全架構，也無法保證項目的安全性。在加密世界中，代碼就是法律，任何宣傳和承諾都比不上經過實戰檢驗的智能合約安全。