跨链桥协议CrossCurve被黑损失约300万美元 CEO Boris Povar公布被盗代币钱包地址

币圈子(120btc.CoM)：跨链桥协议再度成为黑客的提款机。CrossCurve于周日晚间在X平台紧急公告，确认旗下智能合约遭到攻击，约300万美元资金在多条区块链网络上被盗。协议方已要求所有用户立即暂停与CrossCurve的一切互动，并展开全面调查。

攻击手法：伪造跨链讯息绕过闸道验证

据区块链安全机构Decurity旗下的Defimon Alerts分析，此次攻击的核心手法是利用CrossCurve的Receiver Axelar合约中的漏洞。攻击者透过伪造的跨链讯息呼叫express Execute函数，成功绕过Axelar闸道的验证机制，直接触发Portal V2合约上的资金解锁(unlock)操作。

简言之，攻击者不需要真正完成跨链传输，仅靠伪装的讯息就能让合约误以为收到了合法的跨链请求，进而释放锁定资金。这是跨链桥架构中讯息验证环节的典型安全缺陷——一旦闸道验证被绕过，整个资金安全体系便形同虚设。

CEO开出72小时最后通牒

CrossCurve执行长Boris Povar在事发后迅速回应，公布了10个接收被盗代币的钱包地址，并向攻击者发出明确讯息：若在72小时内归还资金，可保留10%作为漏洞赏金。

Povar表示：「这些代币是因智能合约漏洞而从用户手中被非法取走的。」

他同时警告，若期限内资金未归还，CrossCurve将把此事视为司法案件，启动法律诉讼、资产冻结，并与执法机构全面合作追查。

Curve Finance发布警告，建议用户撤回投票

作为合作伙伴的Curve Finance也随即对用户发出警告，建议检视并考虑撤回对CrossCurve相关流动性池的投票。这意味着此次事件的影响范围可能不仅限于CrossCurve本身，与其整合的DeFi生态系统都需要重新评估风险敞口。

跨链桥安全：DeFi的阿基里斯之踵

跨链桥一直是DeFi领域中最容易遭到攻击的基础设施之一。从2022年Wormhole的3.2亿美元被盗、Ronin Bridge的6.25亿美元遭黑，到此次CrossCurve事件，跨链桥的安全问题始终未能根治。

核心原因在于跨链桥必须在不同区块链之间传递和验证讯息，这个过程涉及的攻击面远大于单链应用。此次CrossCurve事件再次提醒用户：在使用跨链服务前，务必确认协议的安全审计记录，并避免将大额资金长期放置于跨链桥合约中。