За удобством кросс-чейн финансов скрываются уязвимости, которые подобно минам замедленного действия регулярно срабатывают по схожему сценарию и вынуждают всю индустрию к самоанализу.
2 февраля 2026 года (UTC) CrossCurve — кросс-чейн протокол ликвидности, ранее известный как EYWA и поддерживаемый основателем Curve Finance Михаилом Егоровым — официально подтвердил, что его кросс-чейн мост подвергся атаке из-за уязвимости в смарт-контракте. Злоумышленники подделали кросс-чейн сообщения, обошли критическую проверку шлюза и инициировали несанкционированную разблокировку токенов, в результате чего было похищено около 3 миллионов долларов на нескольких блокчейнах.
Краткий обзор инцидента: почему провалилась многоуровневая архитектура валидации?
Около 31 января 2026 года компания по безопасности блокчейнов Defimon Alerts зафиксировала резкое снижение баланса основного контракта CrossCurve — PortalV2 — с примерно 3 миллионов долларов до почти нуля. CrossCurve оперативно опубликовал экстренное сообщение в X: «В данный момент наша сеть мостов подвергается атаке. Злоумышленник использовал уязвимость в одном из наших смарт-контрактов. Пожалуйста, прекратите любые взаимодействия с CrossCurve до завершения расследования».
Примечательно, что CrossCurve долгое время позиционировал свою многоуровневую архитектуру безопасности «Consensus Bridge» как ключевое преимущество. Эта система объединяет Axelar, LayerZero и собственную оракульную сеть EYWA, чтобы устранить единые точки отказа за счет использования нескольких независимых источников валидации. Ранее проект заявлял: «Вероятность одновременного взлома сразу нескольких кросс-чейн протоколов практически равна нулю».
Анализ уязвимости: фатальный пробел в валидации
Экспертиза показала техническую суть атаки. Корень уязвимости заключался в, казалось бы, незначительной недостающей проверке — этого оказалось достаточно, чтобы поставить под угрозу всю сложную систему многоуровневой верификации.
Вектор атаки
Основная часть атаки произошла в контракте ReceiverAxelar CrossCurve. Именно этот контракт отвечает за прием сообщений из кросс-чейн сети Axelar и выполнение соответствующих инструкций.
В штатном режиме любое кросс-чейн сообщение для исполнения должно проходить консенсусную валидацию сети Axelar. Однако в одной из функций контракта существовала критическая ошибка. Злоумышленники обнаружили, что могут напрямую вызвать эту функцию, передав поддельные параметры кросс-чейн сообщения, а контракт не проверял должным образом их истинное происхождение.
Ход атаки
После принятия поддельной инструкции контракт отправлял команду на разблокировку токенов в основной контракт хранения активов PortalV2.
Поскольку контракт PortalV2 полностью доверял командам от ReceiverAxelar, он исправно переводил все типы заблокированных активов на адреса, указанные злоумышленником. Этот процесс можно было повторять до полного опустошения основных активов контракта.
История повторяется: четыре года незаживающих ран безопасности
Этот инцидент вызвал острое чувство дежавю в сообществе специалистов по безопасности криптовалют. Эксперт по безопасности Тейлор Монахэн выразила свое удивление: «Я просто не могу поверить, что прошло четыре года, а ничего не изменилось». Она имела в виду атаку на кросс-чейн мост Nomad в августе 2022 года, которая потрясла индустрию. Тогда Nomad потерял около 190 миллионов долларов из-за аналогичной ошибки инициализации проверки. Еще более поразительно, что эксплойт был настолько прост, что после начала инцидента ситуация превратилась в «охоту за деньгами» — более 300 адресов скопировали способ атаки для кражи средств.
От Nomad до CrossCurve методы атак по сути идентичны: в обоих случаях причина — недостаточная проверка самого базового элемента безопасности, а именно источника кросс-чейн сообщений. Повторение подобных инцидентов наглядно демонстрирует, что несмотря на стремительное развитие отрасли, базовые практики разработки смарт-контрактов и стандарты аудита по-прежнему часто не соблюдаются должным образом.
Реакция рынка: кризис доверия и волатильность цен
Взлом моментально вызвал цепную реакцию на рынке. Протокол CrossCurve, подвергшийся атаке, тесно связан с ведущим DeFi-протоколом Curve Finance; инвестиции основателя Curve стали для CrossCurve важным фактором доверия.
После инцидента Curve Finance оперативно опубликовал заявление в X, порекомендовав пользователям «пересмотреть свои позиции и рассмотреть возможность отзыва этих голосов», а также призвал к осторожности при взаимодействии с «сторонними проектами». Это аккуратно сформулированное сообщение многие расценили как попытку быстро дистанцироваться и защитить собственную репутацию от возможного ущерба.
Реакция основного рынка
По данным Gate, на 2 февраля 2026 года цена биткоина (BTC) изменилась на -2,51% за последние 24 часа и составила 76 814 долларов.
За тот же период цена эфириума (ETH) снизилась на 7,42%, до 2 271,18 доллара. Хотя на волатильность рынка влияет множество факторов, столь крупный инцидент безопасности в ключевом DeFi-протоколе явно усилил склонность к снижению риска среди участников рынка.
Размышления индустрии: парадокс безопасности кросс-чейн мостов
Случай с CrossCurve вновь вывел на первый план общий вывод отрасли: «кросс-чейн мосты — самое слабое звено в криптоиндустрии». Предыдущие инциденты, такие как Ronin (потери 625 миллионов долларов), Wormhole (325 миллионов долларов), а теперь и CrossCurve, лишь подтверждают это мнение.
Парадокс безопасности кросс-чейн мостов заключается в необходимости обеспечивать свободное перемещение активов между разными блокчейнами, что требует доверия и валидации со стороны хабов на нескольких независимых сетях с разными моделями безопасности. Если этот хаб (смарт-контракт) содержит логическую ошибку, он становится единой точкой отказа для всего пула ликвидности. Даже многоуровневая внешняя валидация, как в архитектуре CrossCurve, не спасает, если уязвимость заложена в самом контракте — все внешние меры становятся неэффективными.
Актуальные события и реакция пользователей
Столкнувшись с продолжающимся выводом средств и растущим общественным давлением, команда CrossCurve после публикации информации о взломе приступила к антикризисным мерам. Согласно последнему официальному заявлению, команда установила срок в 72 часа для возврата похищенных средств. Владельцев затронутых адресов призвали сотрудничать и вернуть неправомерно полученные активы, а в рамках политики «Safe Harbor Disclosure» пообещали выплатить до 10% от суммы в качестве вознаграждения белым хакерам.
Если договоренность не будет достигнута в указанный срок, команда заявила о намерении усилить ответные меры, включая обращение в суд и сотрудничество с биржами, эмитентами стейблкоинов и другими организациями для отслеживания и заморозки соответствующих активов.
Цена биткоина снизилась на 2,51% за 24 часа после инцидента, а эфириум потерял еще больше — 7,42%. Рынок отреагировал на подорванное доверие, вызванное ошибкой в коде, сухими цифрами.
72-часовой «отсчет безопасной гавани», объявленный командой CrossCurve, продолжается. По данным блокчейн-эксплореров, украденные средства по-прежнему остаются на адресе злоумышленника, и крупные переводы пока не зафиксированы. Чем завершится эта история — белой сделкой или очередной затяжной борьбой за возврат активов через границы, вызванной одной пропущенной строкой кода валидации — покажет время.
