Взлом моста CrossCurve на $3 млн: как одна пропущенная проверка валидации опустошила мультичейн-протокол за считанные минуты

Это заняло менее часа. 31 января 2026 года злоумышленник обнаружил, что в одной функции смарт-контракта в инфраструктуре моста CrossCurve отсутствует критическая проверка валидации — и планомерно вывел 3 миллиона долларов из сетей Ethereum, Arbitrum и других, прежде чем кто-либо успел среагировать. Никаких сложных уязвимостей нулевого дня. Никаких компрометаций ключей инсайдеров. Просто сфабрикованное сообщение и вызов функции, который мог выполнить любой желающий в блокчейне.

Инцидент с CrossCurve — это суровое напоминание о том, что кроссчейн-мосты остаются самой опасной поверхностью для атак в децентрализованных финансах — и что даже протоколы, обладающие многослойной архитектурой безопасности, могут рухнуть, когда один-единственный контракт оказывается уязвимым.

Что такое CrossCurve?

CrossCurve, ранее известный как EYWA, — это децентрализованный кроссчейн-протокол ликвидности, предназначенный для беспрепятственного перемещения активов между блокчейнами. В отличие от простых мостов для токенов, CrossCurve интегрируется с несколькими независимыми системами проверки — Axelar, LayerZero и собственной сетью оракулов EYWA Oracle Network — для создания того, что он описывает как «многослойную архитектуру консенсусного моста».

Смарт-контракты PortalV2 протокола управляют блокировкой и разблокировкой токенов в поддерживаемых сетях, в то время как уровни передачи сообщений, такие как General Message Passing (GMP) от Axelar, обеспечивают кроссчейн-взаимодействие. Теоретически, такая избыточность должна предотвращать эксплойты с использованием единой точки отказа, которые преследуют мосты с 2022 года.

На практике же хватило одной упущенной из виду функции.

Атака: анатомия обхода шлюза

Уязвимость находилась в контракте ReceiverAxelar от CrossCurve — кастомном смарт-контракте, созданном для приема и обработки кроссчейн-сообщений, передаваемых через сеть Axelar.

При нормальной работе передача сообщений Axelar происходит следующим образом:

1. Пользователь инициирует кроссчейн-транзакцию в исходной сети.
2. Транзакция поступает в контракт шлюза (Gateway) Axelar, где её подхватывают ретрансляторы.
3. Более 75 валидаторов Axelar достигают консенсуса с помощью пороговой криптографии, коллективно подписывая сообщение.
4. Проверенное сообщение доставляется в контракт шлюза (Gateway) целевой сети.
5. Контракт-получатель проверяет, что сообщение пришло через авторизованный шлюз, прежде чем приступить к выполнению.

Критическая ошибка была на пятом этапе. Контракт ReceiverAxelar от CrossCurve содержал публичную функцию expressExecute — предназначенную для ускоренной обработки сообщений, — которая не проверяла, действительно ли входящее сообщение поступило от шлюза Axelar Gateway.

Это означало, что любой мог вызвать expressExecute напрямую с поддельной кроссчейн-нагрузкой. Контракт воспринимал сфабрикованное сообщение как легитимное и давал команду PortalV2 разблокировать токены в целевой сети — без какого-либо соответствующего депозита в исходной сети.

Как объяснила фирма по безопасности блокчейнов Halborn: «Этот эксплойт не был сбоем основного протокола Axelar; это был сбой на стороне получателя. Кастомный контракт ReceiverAxelar от CrossCurve выполнял кроссчейн-сообщения без их предварительной надлежащей аутентификации».

Опустошение: 3 миллиона долларов в скоординированных транзакциях

Злоумышленник воспользовался этим пробелом в валидации с хирургической точностью. В течение нескольких минут он опустошил контракты PortalV2 CrossCurve в нескольких сетях, доведя баланс контракта с 3 миллионов долларов почти до нуля в ходе серии скоординированных транзакций.

Атака была направлена на несколько сетей одновременно — включая Ethereum и его сети второго уровня — что продемонстрировало глубокое понимание злоумышленником многоцепочечной архитектуры CrossCurve. Каждое поддельное сообщение заставляло PortalV2 высвобождать токены, которые злоумышленник никогда не вносил.

Генеральный директор CrossCurve, Борис Повар, оперативно отреагировал, призвав пользователей прекратить любую активность в протоколе. Команда отследила украденные средства до 10 адресов кошельков и публично поделилась ими, предъявив 72-часовой ультиматум: вернуть 90% средств и оставить 10% в качестве вознаграждения whitehat (белого хакера) в соответствии с политикой SafeHarbor протокола, либо столкнуться с эскалацией мер.

Угрозы эскалации были комплексными — уголовные дела, гражданские судебные разбирательства, сотрудничество с централизованными биржами и эмитентами стейблкоинов для заморозки активов, публичное раскрытие всех данных о кошельках и координация с аналитическими компаниями в сфере блокчейна и правоохранительными органами.

Почему мосты продолжают ломаться

Эксплойт CrossCurve не является единичным случаем. Он стоит в одном ряду с длинной и разрушительной историей взломов мостов, которые определили самые мрачные главы безопасности DeFi.

Зал позора эксплойтов мостов:

• Ronin Bridge (2022): 625 миллионов долларов украдено через скомпрометированные ключи валидаторов
• Wormhole Bridge (2022): 320 миллионов долларов потеряно из-за обхода проверки подписи
• Nomad Bridge (2022): 190 миллионов долларов выведено после ошибочного обновления, сделавшего каждое сообщение доказуемым
• Force Bridge (2025): Более 3 миллионов долларов украдено в сети Nervos Network
• CrossCurve (2026): 3 миллиона долларов через сфабрикованные кроссчейн-сообщения

К 2025 году совокупный ущерб стал ошеломляющим. Только за первые шесть месяцев хакеры совершили 119 атак на общую сумму 3 миллиарда долларов в украденной криптовалюте — что более чем наполовину превысило убытки за весь 2024 год. Chainalysis сообщила, что траектория 2025 года была на 17% хуже, чем в 2022 году, который ранее считался худшим годом по кражам криптовалюты.

Эта закономерность выявляет структурную проблему: мосты по своей природе сложны. Они должны управлять состоянием в нескольких независимых блокчейнах, каждый из которых имеет свой механизм консенсуса, модель финализации и среду выполнения. Каждая точка интеграции — каждый кастомный контракт-приемник, каждый парсер сообщений, каждый механизм блокировки токенов — представляет собой потенциальную поверхность для атаки.

Повторяющийся паттерн уязвимостей

Что делает эксплойт CrossCurve особенно поучительным, так это то, как он отражает повторяющийся класс уязвимостей мостов: недостаточная аутентификация сообщений на стороне получателя.

В архитектуре Axelar безопасность спроектирована так, чтобы проходить через контракты Gateway (шлюзы), которые коллективно контролируются валидаторами посредством многосторонней криптографии. Сообщения, проходящие через Gateway, несут в себе вес сетевого консенсуса. Но когда контракт-получатель обходит эту проверку — будь то через вспомогательную функцию вроде expressExecute или простую оплошность — вся модель безопасности рушится.

Это эквивалент моста, подобный строительству крепости с запертыми главными воротами и незапертой боковой дверью. Сложность основной системы безопасности становится неважной, когда злоумышленник находит неохраняемую точку входа.

Chainlink задокументировала семь различных категорий уязвимостей кросс-чейн мостов, включая:

• Фальшивые события депозита — подделка транзакций в исходной сети
• Подмена сообщений (Message spoofing) — фабрикация кросс-чейн сообщений (паттерн CrossCurve)
• Компрометация валидатора/релейера — прямая атака на уровень консенсуса
• Атаки повторного воспроизведения (Replay attacks) — повторная отправка валидных сообщений для вывода дополнительных средств

Случай с CrossCurve подпадает именно под категорию подмены сообщений, но с нюансом: злоумышленнику не нужно было компрометировать сам слой передачи сообщений. Он просто вызвал функцию, которая полностью пропустила этот слой.

Уроки для разработчиков и пользователей

Эксплойт CrossCurve дает несколько конкретных выводов для экосистемы DeFi:

Для разработчиков протоколов:

• Каждая публичная функция, обрабатывающая кросс-чейн сообщения, должна проверять источник сообщения. Без исключений. Вспомогательные функции, предназначенные для скорости (например, expressExecute), особенно опасны, если они упрощают аутентификацию.
• Многоуровневая безопасность работает только в том случае, если каждый уровень выполняет свои проверки независимо. Интеграция CrossCurve с Axelar, LayerZero и EYWA Oracle не помогла, потому что уязвимый контракт находился ниже всех трех уровней проверки.
• ** Security-аудиты должны охватывать контракты интеграции, а не только основные протоколы.** Основной протокол Axelar работал так, как было задумано. Ошибка была в кастомной реализации интерфейса получателя CrossCurve.

Для пользователей DeFi:

• Риск мостов реален и постоянен. Несмотря на годы инцидентов и миллиардные убытки, мосты остаются архитектурно сложными для обеспечения безопасности. Минимизируйте объем капитала, находящегося в контрактах мостов в любой момент времени.
• Мультичейн-диверсификация стека безопасности протокола не устраняет риск единой точки отказа, если контракты, потребляющие эти услуги безопасности, реализованы неправильно.
• Следите за политиками SafeHarbor и скоростью реагирования на инциденты. Быстрая идентификация кошельков злоумышленника компанией CrossCurve и структурированное предложение вознаграждения (bounty) представляют собой улучшающийся стандарт реагирования на инциденты в DeFi — хотя предотвращение остается гораздо ценнее, чем реагирование.

Что дальше для кросс-чейн безопасности

Индустрия медленно развивает свой подход к безопасности мостов. Функции ограничения скорости (rate-limiting) в Axelar, которые ограничивают объем активов, переводимых за определенный интервал времени, представляют собой одну из стратегий смягчения последствий. Формальная верификация контрактов мостов, расширенные программы по поиску багов через платформы вроде Immunefi и фреймворк SEAL WhiteHat Safe Harbor подталкивают экосистему к лучшим нормам.

Но фундаментальная проблема остается: кросс-чейн мосты находятся на пересечении нескольких доменов доверия, и безопасность этих границ требует безупречного соблюдения каждой детали — в каждой сети, каждом контракте и каждой функции. Одна пропущенная проверка валидации, как болезненно продемонстрировал случай с CrossCurve, — это слишком много.

3 миллиона долларов, потерянные в результате эксплойта CrossCurve, — скромная сумма по меркам хаков в DeFi. Но урок, который она преподносит, стоит гораздо дороже: в мультичейн-мире безопасность сильна настолько, насколько сильно самое слабое звено — контракт-получатель на другом конце моста.

---

Создание мультичейн-инфраструктуры требует доверия к каждому уровню стека. BlockEden.xyz предоставляет RPC и API сервисы корпоративного уровня для Ethereum, Sui, Aptos и более чем 20 сетей — с надежностью и безопасностью, встроенными в каждую конечную точку. Изучите наш маркетплейс API, чтобы расширить возможности ваших кросс-чейн приложений на инфраструктуре, созданной надолго.