За зручністю кросчейн-фінансів приховуються вразливості безпеки, які нагадують тикаючі бомби сповільненої дії. Вони знову і знову вибухають подібними способами, змушуючи всю індустрію до саморефлексії.
2 лютого 2026 року (UTC) CrossCurve — протокол кросчейнової ліквідності, раніше відомий як EYWA та підтримуваний засновником Curve Finance Міхаїлом Єгоровим — офіційно підтвердив, що його кросчейновий міст зазнав атаки через вразливість у смартконтракті. Зловмисники підробили кросчейнові повідомлення, обійшли критичну перевірку шлюзу та ініціювали несанкціоноване розблокування токенів, унаслідок чого було викрадено близько 3 мільйонів доларів США на кількох блокчейнах.
Огляд інциденту: чому провалилася багаторівнева архітектура валідації?
Близько 31 січня 2026 року компанія з аудиту безпеки Defimon Alerts виявила різке зниження балансу основного контракту PortalV2 у CrossCurve — з приблизно 3 мільйонів доларів до майже нуля. CrossCurve оперативно опублікував екстрене повідомлення у X: «Наша мережа мостів зараз під атакою. Зловмисник скористався вразливістю в одному з наших смартконтрактів. Просимо призупинити всі взаємодії з CrossCurve на час розслідування».
Іронічно, але CrossCurve тривалий час позиціонував свою багаторівневу архітектуру безпеки «Consensus Bridge» як ключову перевагу. Ця архітектура інтегрує Axelar, LayerZero і власну оракульну мережу EYWA, прагнучи усунути єдиний вузол відмови завдяки кільком незалежним джерелам валідації. Проєкт раніше стверджував: «Ймовірність одночасного злому кількох кросчейнових протоколів практично дорівнює нулю».
Аналіз вразливості: фатальний розрив у валідації
Аналіз безпеки виявив технічну суть атаки. Корінь проблеми — у, здавалося б, простій відсутній перевірці, яка виявилася достатньою, щоб скомпрометувати всю складну багаторівневу систему верифікації.
Вектор атаки
Основна частина атаки відбулася у контракті ReceiverAxelar від CrossCurve. Цей контракт відповідає за приймання повідомлень із кросчейнової мережі Axelar і виконання відповідних інструкцій.
У стандартних умовах будь-яке кросчейнове повідомлення для виконання має пройти консенсусну перевірку мережі Axelar. Однак у одній із функцій цього контракту існувала критична вада. Зловмисники з’ясували, що можуть напряму викликати цю функцію, передаючи підроблені параметри кросчейнового повідомлення, і контракт не перевіряв належним чином справжнє джерело цих повідомлень.
Хід атаки
Після прийняття підробленої інструкції контракт надсилав команду на розблокування токенів до основного контракту зберігання активів PortalV2.
Оскільки контракт PortalV2 повністю довіряв інструкціям від ReceiverAxelar, він беззаперечно вивільняв усі типи заблокованих активів на адреси, вказані зловмисником. Цей процес можна було повторювати до повного вичерпання основних активів контракту.
Історія повторюється: чотири роки незалікованих ран безпеки
Цей інцидент викликав у криптоспільноти відчуття дежавю. Експертка з безпеки Тейлор Монахан висловила своє здивування: «Я просто не можу повірити, що минуло чотири роки, а нічого не змінилося». Вона мала на увазі атаку на міст Nomad у серпні 2022 року, яка шокувала індустрію. Тоді Nomad втратив близько 190 мільйонів доларів через аналогічну ваду ініціалізації перевірки. Ще більш вражаюче, що експлойт був настільки простим, що після початку інциденту він перетворився на «money grab frenzy» (масове полювання за грошима), коли понад 300 адрес скопіювали метод атаки для крадіжки коштів.
Від Nomad до CrossCurve методи атак по суті ідентичні: у центрі — недостатня перевірка найелементарнішого елементу безпеки, а саме джерела кросчейнових повідомлень. Повторення подібних випадків яскраво свідчить про те, що, попри стрімкий розвиток індустрії, деякі базові практики розробки безпеки смартконтрактів і стандарти аудиту досі впроваджуються недостатньо.
Реакція ринку: криза довіри та волатильність цін
Порушення безпеки швидко спричинило ланцюгову реакцію на ринку. CrossCurve, протокол, що зазнав атаки, тісно пов’язаний із провідним DeFi-протоколом Curve Finance; інвестиції від засновника Curve стали вагомим фактором довіри до CrossCurve.
Після інциденту Curve Finance оперативно опублікував заяву у X, закликавши користувачів «переглянути свої позиції та розглянути відкликання цих голосів», а також наголосив на обережності при взаємодії з «проєктами третіх сторін». Ця обережна заява була широко сприйнята як швидке дистанціювання та спроба захистити власну репутацію від побічної шкоди.
Реакція основного ринку
Згідно з ринковими даними Gate, станом на 2 лютого 2026 року ціна Bitcoin (BTC) за останні 24 години змінилася на -2,51% і склала 76 814 доларів США.
За цей же період ціна Ethereum (ETH) знизилася на -7,42% і становила 2 271,18 долара США. Хоча волатильність ринку зумовлена низкою факторів, масштабна втрата безпеки у ключовому DeFi-протоколі безумовно підвищила рівень уникнення ризику на ринку.
Рефлексія індустрії: парадокс безпеки кросчейнових мостів
Інцидент із CrossCurve знову виніс на поверхню загальноприйняту думку: «кросчейнові мости — найслабша ланка криптоіндустрії». Попередні випадки, такі як Ronin (втрачено 625 мільйонів доларів), Wormhole (втрачено 325 мільйонів доларів) і тепер CrossCurve, лише підтверджують цю тезу.
Парадокс безпеки кросчейнових мостів полягає у необхідності забезпечити вільне переміщення активів між різними блокчейнами, що вимагає довіри та валідації у вузлах між кількома незалежними ланцюгами з різними моделями безпеки. Якщо цей вузол (смартконтракт) містить логічну помилку, він стає єдиною точкою відмови для всього пулу ліквідності. Навіть багаторівнева зовнішня валідація, як у CrossCurve, не захистить, якщо сам контракт реалізовано з вадами.
Останні події та реакція користувачів
Зіткнувшись із триваючим відтоком коштів і зростаючим суспільним тиском, команда CrossCurve після оприлюднення інциденту розпочала антикризові заходи. Згідно з останньою офіційною заявою, команда встановила 72-годинний термін для повернення викрадених коштів. Вони закликали власників постраждалих адрес співпрацювати щодо повернення активів і, відповідно до політики «Safe Harbor Disclosure Policy», запропонували до 10% від суми як винагороду для етичних хакерів.
Якщо врегулювання не буде досягнуто у визначений термін, команда заявила про намір посилити заходи, включаючи подання судових позовів і співпрацю з біржами, емітентами стейблкоїнів та іншими учасниками для відстеження й заморожування пов’язаних активів.
Ціна Bitcoin знизилася на 2,51% протягом 24 годин після інциденту, тоді як Ethereum впав ще більше — на 7,42%. Ринок відреагував на цю втрату довіри, спричинену помилкою в коді, суворими цифрами.
72-годинний відлік «safe harbor», встановлений командою CrossCurve, невпинно спливає. Дані блокчейн-експлорера показують, що викрадені кошти залишаються на адресі зловмисника, без масштабних переміщень. Чи завершиться ця буря — спричинена однією відсутньою перевіркою у коді — угодою з етичними хакерами, чи перетвориться на чергову затяжну боротьбу за повернення активів через кордони, покаже час.
