CrossCurve 跨链桥被黑损失 300 万美元：智能合约漏洞再敲警钟

跨链金融的便捷性背后，安全漏洞如同定时炸弹，一次次以相似的方式被引爆，让整个行业陷入反思。

北京时间 2026 年 2 月 2 日，由 Curve Finance 创始人 Michael Egorov 背书的跨链流动性协议 CrossCurve（原名 EYWA）官方确认，其跨链桥协议因智能合约漏洞正遭受攻击。攻击者通过伪造跨链消息，绕过了关键的网关验证，触发了未经授权的代币解锁，导致约 300 万美元资金在多条链上被盗。

事件概述：多重验证架构为何失效？

2026年1月31日左右，区块链安全机构 Defimon Alerts 监测到 CrossCurve 的核心合约 PortalV2 余额从约 300 万美元骤降至近乎归零。CrossCurve 迅速在 X 平台发布紧急公告：“我们的桥接网络目前正遭受攻击，攻击者利用了某个智能合约中的漏洞。在调查进行期间，请暂停与 CrossCurve 的所有互动。”

讽刺的是，CrossCurve 此前一直将其 “共识桥”多重验证安全架构作为核心卖点。该架构整合了 Axelar、LayerZero 以及其自有的 EYWA 预言机网络，旨在通过多独立验证源来杜绝单点故障。项目方曾宣称：“多个跨链协议同时被黑客攻击的概率几乎为零。”

漏洞剖析：一次致命的验证缺失

安全分析揭示了此次攻击的技术本质。漏洞的根源在于一个看似简单的验证缺失，却足以击穿整个复杂的多重验证体系。

攻击路径

攻击的核心发生在 CrossCurve 的 ReceiverAxelar 合约中。该合约负责接收来自 Axelar 跨链网络的消息并执行相应指令。

正常情况下，任何要执行的跨链消息都必须经过 Axelar 网络的共识验证。然而，该合约中的 expressExecute 函数存在致命缺陷。攻击者发现，他们可以直接调用此函数，并传入伪造的跨链消息参数，而合约并未对消息的真实来源进行充分校验。

攻击流程

一旦伪造的指令被接受，合约便会向负责资产托管的核心 PortalV2 合约发送代币解锁指令。

由于 PortalV2 合约完全信任来自 ReceiverAxelar 的指令，它会忠实地将合约中锁定的各类资产释放到攻击者指定的地址。这一过程可以被重复执行，直至合约内的主要资产被洗劫一空。

历史重演：四年未愈的安全伤疤

这起事件让加密安全社区产生了强烈的既视感。安全专家 Taylor Monahan 对此表示震惊：“我简直不敢相信四年过去了，情况竟然没有任何改变。”她所指的，是 2022 年 8 月震惊行业的 Nomad 跨链桥攻击事件。当时，Nomad 因一个类似的初始化验证漏洞，被攻击者盗取了约 1.9 亿美元。更令人错愕的是，由于漏洞利用方式极其简单，在事件发生后演变成了一场“抢钱狂欢”，超过 300 个地址纷纷复制攻击手法参与资金窃取。

从 Nomad 到 CrossCurve，攻击手法在本质上高度相似：都源于对跨链消息源这一最基本的安全要素验证不足。这类重复发生的悲剧尖锐地指出，尽管行业在快速发展，但一些根本性的智能合约安全开发规范与审计标准并未得到有效贯彻。

市场连锁反应：信心危机与价格波动

安全事件迅速在市场层面引发连锁反应。此次受攻击的 CrossCurve 与顶级 DeFi 协议 Curve Finance 关系密切，后者创始人的投资曾是前者重要的信用背书。

事件发生后，Curve Finance 官方迅速在 X 平台发表声明，建议用户“重新审视自己的持仓，并考虑撤销这些投票”，并强调在与“第三方项目”互动时需保持警惕。这一措辞谨慎的声明，被广泛解读为迅速划清界限，以避免自身声誉受到连带损害。

主流市场反应

据大门交易所行情数据显示，截至 2026 年 2 月 2 日，根据大门交易所行情数据，比特币 (BTC) 价格在过去 24 小时内变动为 -2.51%，报 $76,814。

同期，以太坊 (ETH) 价格变动为 -7.42%，报 $2,271.18。尽管市场波动由多重因素导致，但主流DeFi生态核心关联协议出现重大安全漏洞，无疑加剧了市场的避险情绪。

行业反思：跨链桥的安全悖论

CrossCurve 事件再次将“跨链桥是加密世界最脆弱环节”的行业共识推至台前。无论是此前的 Ronin（损失 6.25 亿美元）、Wormhole（损失 3.25 亿美元），还是本次事件，都印证了这一判断。

跨链桥的安全悖论在于：为了实现资产在不同区块链间的自由流动，它必须在多个彼此独立、安全模型各异的链环境中建立信任与验证枢纽。这一枢纽（智能合约）一旦出现逻辑漏洞，就会成为整个资金池的单一故障点。即使像 CrossCurve 那样设计了多重外部验证，其自身合约的实现缺陷仍能让所有外围防护形同虚设。