Міст CrossCurve від Curve Finance зламали на $3 млн
1 лютого команда протоколу кросчейн-ліквідності CrossCurve повідомила про злам.
⚠️ URGENT Security Notice
Dear users,
Our bridge is currently under attack, involving the exploitation of a vulnerability in one of the smart contracts used.
Please pause all interactions with CrossCurve while the investigation is ongoing.
We appreciate your patience and… pic.twitter.com/yfo1KvWoDd
— CrossCurve (@crosscurvefi) February 1, 2026
«Наш міст переживає атаку, пов’язану з експлуатацією вразливості в одному зі смартконтрактів. Будь ласка, не взаємодійте з CrossCurve, поки ми розслідуємо те, що сталося», — написали розробники.
Фахівці з безпеки з Defimon Alerts встановили, що хакери обійшли перевірку шлюзу в смартконтракті під назвою ReceiverAxelar.
CrossCurve @crosscurvefi (ex https://t.co/4HJ33uOZUS) has been exploited for around 3 million on several networks.
Anyone could call expressExecute on ReceiverAxelar contract with a spoofed cross-chain message, bypassing gateway validation and triggering unlock on PortalV2.… pic.twitter.com/EfYe3Tfo9v
— Defimon Alerts (@DefimonAlerts) February 1, 2026
Зловмисники викликали функцію expressExecute, надсилаючи підроблені міжланцюгові повідомлення. Це дозволило обійти валідацію та несанкціоновано розблокувати токени в контракті PortalV2.
За даними Arkham Intelligence, баланс пулу обвалився з $3 млн майже до нуля.
CrossCurve (раніше EYWA Protocol) — кросчейн-DEX і міст, розроблений спільно з Curve Finance. В основі його архітектури — механізм Consensus Bridge, що розподіляє ризики перевірки транзакцій між незалежними протоколами: Axelar, LayerZero та власною мережею оракулів EYWA.
Проєкт неодноразово позиціонував цей підхід як ключову перевагу, стверджуючи, що «ймовірність одночасного зламу кількох кросчейн-протоколів близька до нуля».
У вересні 2023 року інвестором майданчика став засновник Curve Finance Майкл Єгоров. Згодом проєкт залучив $7 млн венчурного фінансування.
Команда Curve Finance прокоментувала злам, попередивши користувачів.
In light of the recent security incident involving https://t.co/3Wv3pEhCu8 (== CrossCurve):
Users who have allocated votes to Eywa-related pools may wish to review their positions and consider removing those votes. We continue to encourage all participants to remain vigilant and… https://t.co/chd5YBOXhr
— Curve Finance (@CurveFinance) February 1, 2026
«Тим, хто делегував голоси в пов’язані з EYWA пули, варто оцінити свої позиції та розглянути можливість відкликання голосів», — зазначили розробники.
Нагадаємо, у січні хакери атакували цілу низку децентралізованих проєктів: L1-мережу Saga, Ethereum-протокол верифікації Truebit і DeFi-майданчик Makina Finance.
Раніше CEO Immunefi Мітчелл Амадор заявив, що майже 80% криптоплатформ припиняють існування після масштабних атак.