去中心化金融协议 CrossCurve（前身为 EYWA）表示，已公开确认了与周日其代币转移系统遭黑客攻击有关的十个以太坊地址。

交叉曲线披露周日下午，攻击者利用了其跨链桥（一种允许用户在不同的区块链之间转移代币的系统）中“其中一个智能合约”的漏洞。

几个小时后，CrossCurve首席执行官鲍里斯·波瓦尔说该团队已确定收到相关资金的十个以太坊地址。

“这些代币是由于智能合约漏洞而被非法窃取的，”波瓦尔说。“我们认为这不是你的故意行为，也没有任何迹象表明你怀有恶意。”

波瓦尔警告说，如果72小时内没有归还资金或没有建立联系，他们的团队将“认定存在恶意，并将此事作为司法问题处理”。

Povar补充说，如果未能归还资金，将立即引发事态升级，包括刑事移送、民事诉讼、与交易所和发行方协调冻结资产、公开钱包和交易数据，以及与执法部门和区块链分析公司合作。

一个智能合约是一个运行在区块链上的程序，它根据预定义的规则自动执行交易。

Defimon Alerts 是由区块链安全公司 Decurity 运营的社交账号，它提供了一项初步估计该漏洞利用导致“多个网络”损失约300万美元，并补充说，该漏洞允许攻击者发送伪造的跨链消息。CrossCurve的智能合约这绕过了检查，导致桥梁释放了资金。

与此同时，区块链安全公司BlockSec估计的总损失约为 276 万美元，其中包括以太坊上的约 130 万美元和 Arbitrum 上的约 128 万美元，以及 Optimism、Base、Mantle、Kava、Frax、Celo 和 Blast 等多个区块链上的损失。

CrossCurve尚未公开证实证券公司引用的损失估计，也没有公布其自身受影响资金的具体数额。解密已联系 CrossCurve 征求意见。

BlockSec团队表示，此次漏洞利用源于“缺乏验证”。解密.

BlockSec 表示：“本应经过验证的跨链消息未得到验证，导致目标链合约误认为该消息反映了源链上发起的真实交易，并根据攻击者伪造的有效载荷数据释放了相应的资产。”

BlockSec补充道，该事件表明“跨链安全仍然过于依赖单一的验证路径”。“如果任何其他执行路径绕过了该检查，整个信任模型就会崩溃。”

Unstoppable Wallet 的研究和战略主管 Dan Dadybayo 表示：“这次攻击并非 Axelar 核心协议的故障，而是接收方的故障。”解密“CrossCurve 的自定义 ReceiverAxelar 合约在未充分验证消息真实性的情况下执行了跨链消息。”

Dadybayo表示，这种模式以前在其他类似案件中也出现过。Nomad 的 2022 年黑客攻击.

他补充道：“桥接安全性的难点不在于消息传递层，而在于确保在身份完全验证之前不发生任何交易。自定义接收器仍然是最薄弱的环节。只要桥接器集中流动性并依赖定制的验证逻辑，它们就将继续是DeFi领域风险最高的环节。”