Міст CrossCurve від Curve Finance зламали на $3 млн

1 лютого команда протоколу кросчейн-ліквідності CrossCurve повідомила про злам. 

⚠️ URGENT Security Notice

Dear users,

Our bridge is currently under attack, involving the exploitation of a vulnerability in one of the smart contracts used.

Please pause all interactions with CrossCurve while the investigation is ongoing.

We appreciate your patience and… pic.twitter.com/yfo1KvWoDd

— CrossCurve (@crosscurvefi) February 1, 2026

«Наш міст переживає атаку, пов’язану з експлуатацією вразливості в одному зі смартконтрактів. Будь ласка, не взаємодійте з CrossCurve, поки ми розслідуємо те, що сталося», — написали розробники. 

Фахівці з безпеки з Defimon Alerts встановили, що хакери обійшли перевірку шлюзу в смартконтракті під назвою ReceiverAxelar. 

CrossCurve @crosscurvefi (ex https://t.co/4HJ33uOZUS) has been exploited for around 3 million on several networks.

Anyone could call expressExecute on ReceiverAxelar contract with a spoofed cross-chain message, bypassing gateway validation and triggering unlock on PortalV2.… pic.twitter.com/EfYe3Tfo9v

— Defimon Alerts (@DefimonAlerts) February 1, 2026

Зловмисники викликали функцію expressExecute, надсилаючи підроблені міжланцюгові повідомлення. Це дозволило обійти валідацію та несанкціоновано розблокувати токени в контракті PortalV2.

За даними Arkham Intelligence, баланс пулу обвалився з $3 млн майже до нуля. 

CrossCurve (раніше EYWA Protocol) — кросчейн-DEX і міст, розроблений спільно з Curve Finance. В основі його архітектури — механізм Consensus Bridge, що розподіляє ризики перевірки транзакцій між незалежними протоколами: Axelar, LayerZero та власною мережею оракулів EYWA.

Проєкт неодноразово позиціонував цей підхід як ключову перевагу, стверджуючи, що «ймовірність одночасного зламу кількох кросчейн-протоколів близька до нуля». 

У вересні 2023 року інвестором майданчика став засновник Curve Finance Майкл Єгоров. Згодом проєкт залучив $7 млн венчурного фінансування.

Команда Curve Finance прокоментувала злам, попередивши користувачів. 

In light of the recent security incident involving https://t.co/3Wv3pEhCu8 (== CrossCurve):

Users who have allocated votes to Eywa-related pools may wish to review their positions and consider removing those votes. We continue to encourage all participants to remain vigilant and… https://t.co/chd5YBOXhr

— Curve Finance (@CurveFinance) February 1, 2026

«Тим, хто делегував голоси в пов’язані з EYWA пули, варто оцінити свої позиції та розглянути можливість відкликання голосів», — зазначили розробники. 

Нагадаємо, у січні хакери атакували цілу низку децентралізованих проєктів: L1-мережу Saga, Ethereum-протокол верифікації Truebit і DeFi-майданчик Makina Finance. 

Раніше CEO Immunefi Мітчелл Амадор заявив, що майже 80% криптоплатформ припиняють існування після масштабних атак.