CrossCurve взломан на $3 млн: злоумышленник обманул мост через подделку сообщений

Протокол кросс-чейн ликвидности CrossCurve, партнёр экосистемы Curve Finance, стал жертвой атаки на сумму около 3 миллионов долларов. Злоумышленник воспользовался уязвимостью в одном из смарт-контрактов моста, чтобы подделать межсетевые сообщения и обойти систему валидации Axelar — ключевого компонента инфраструктуры безопасности.

🔍 Как была совершена эксплуатация?

Согласно данным от команды безопасности Decurity и её проекта Defimon Alerts, уязвимость находилась в контракте ReceiverAxelar. Злоумышленник смог:

• Создать поддельное межсетевое сообщение
• Вызвать функцию expressExecute напрямую
• Обойти проверку через Axelar Gateway
• Активировать разблокировку токенов в контракте PortalV2

Это классический пример обхода валидации — когда механизм доверия (в данном случае Axelar) игнорируется из-за неправильной архитектуры контракта.

«Безопасность моста — это не сумма частей. Это цепь, и она рвётся в самом слабом звене», — Виталик Бутерин, сооснователь Ethereum.

🛡️ Реакция CrossCurve и предложение вознаграждения

Генеральный директор CrossCurve Борис Повар оперативно опубликовал список из 10 адресов, на которые были переведены украденные средства, и предложил хакеру 10% вознаграждения за возврат активов в течение 72 часов.

В своём обращении он подчеркнул:

«Мы не считаем, что это было сделано с преднамеренным злым умыслом. Возможно, вы просто нашли уязвимость и воспользовались ею. Верните средства — и мы закроем вопрос».

Однако если возврата не последует, команда готова:

• Обратиться в правоохранительные органы
• Подать гражданские иски
• Координароваться с биржами для заморозки активов

📉 Контекст: рост атак на мосты в 2025–2026 гг.

По данным SlowMist, в 2025 году общие потери от хакерских атак в криптосфере составили $3,3 млрд, причём две крупнейшие атаки на цепочки поставок принесли злоумышленникам $1,45 млрд.

Мосты остаются самым уязвимым элементом DeFi:

• Июль 2025: взлом Wormhole — $12 млн
• Январь 2026: SagaEVM — $7 млн через бесконечный минт
• Февраль 2026: CrossCurve — $3 млн через подделку сообщений

Причина проста: мосты объединяют доверие нескольких сетей, создавая сложные поверхности атаки.

🤝 Позиция Curve Finance

Curve Finance, чьё имя связано с CrossCurve через партнёрство, рекомендовала пользователям:

«Если вы голосовали за пулы CrossCurve, рассмотрите возможность отмены этих голосов и пересмотра своих позиций».

Команда также напомнила, что все сторонние проекты несут собственные риски, и призвала сообщество «принимать решения с учётом риска».

🔐 Что делать пользователям?

Если вы взаимодействовали с CrossCurve, примите следующие меры:

• Отзовите все аппрувы через Revoke.cash
• Проверьте, не осталась ли ликвидность в пулах CrossCurve
• Следите за официальными каналами CrossCurve и Curve Finance

🔮 Будущее: безопасность через минимализм и верификацию

Инцидент с CrossCurve подчёркивает необходимость:

• Строгой верификации всех входящих межсетевых сообщений
• Отказа от «быстрых путей» вроде expressExecute без многоуровневой защиты
• Регулярного аудита даже «доверенных» компонентов вроде Axelar

Пока мосты будут строиться как наборы доверия, а не как системы доказательств, они останутся главной мишенью для хакеров.