CrossCurve xác nhận bị tấn công cầu nối, thiệt hại khoảng $3 triệu

On Feb 2, 2026

Giao thức thanh khoản cross-chain CrossCurve (trước đây là EYWA) xác nhận hạ tầng cầu nối của dự án đang bị tấn công sau khi một lỗ hổng trong hợp đồng thông minh bị khai thác, khiến khoảng $3 triệu bị rút khỏi giao thức trên nhiều mạng.

“Cầu nối của chúng tôi hiện đang bị tấn công, liên quan đến việc khai thác lỗ hổng trong một trong các smart contract đang sử dụng,” CrossCurve thông báo trên X, đồng thời kêu gọi người dùng tạm dừng mọi tương tác với giao thức trong thời gian điều tra.

⚠️ URGENT Security Notice

Dear users,

Our bridge is currently under attack, involving the exploitation of a vulnerability in one of the smart contracts used.

Please pause all interactions with CrossCurve while the investigation is ongoing.

We appreciate your patience and… pic.twitter.com/yfo1KvWoDd

— CrossCurve (@crosscurvefi) February 1, 2026

Theo tài khoản bảo mật Defimon Alerts, nguyên nhân đến từ lỗi bỏ sót bước xác thực trong hợp đồng ReceiverAxelar. Lỗ hổng này cho phép kẻ tấn công giả mạo thông điệp cross-chain và gọi hàm expressExecute, qua đó vượt qua cơ chế kiểm tra gateway và kích hoạt mở khóa token trái phép trên hợp đồng PortalV2 của giao thức.

Vụ việc được đánh giá có điểm tương đồng với vụ hack cầu nối Nomad trị giá $190 triệu năm 2022, khi hàng trăm ví cùng tham gia rút tiền từ giao thức. Chuyên gia bảo mật Taylor Monahan nhận định rằng thật đáng lo ngại khi những lỗ hổng dạng này vẫn tiếp diễn sau nhiều năm.

Dữ liệu on-chain cho thấy số dư của hợp đồng PortalV2 đã giảm từ khoảng $3 triệu xuống gần như bằng 0 vào khoảng ngày 31/1, với dòng tiền bị rút diễn ra trên nhiều mạng khác nhau.

CrossCurve vận hành một sàn DEX cross-chain và cầu nối đồng thuận, phát triển hợp tác cùng Curve Finance. Cơ chế “Consensus Bridge” của dự án định tuyến giao dịch qua nhiều giao thức xác thực độc lập như Axelar, LayerZero và mạng oracle riêng của EYWA nhằm giảm rủi ro điểm lỗi đơn lẻ.

Trước đây, dự án từng nhấn mạnh kiến trúc bảo mật là lợi thế nổi bật, cho rằng xác suất nhiều giao thức cross-chain bị tấn công cùng lúc là “gần như bằng 0”. Nhà sáng lập Curve Finance, Michael Egorov, đã đầu tư vào dự án từ tháng 9/2023, và CrossCurve cho biết đã huy động được $7 triệu từ các quỹ đầu tư.

Phía Curve Finance cũng khuyến cáo người dùng đã phân bổ phiếu bầu vào các pool liên quan đến EYWA nên rà soát lại vị thế và cân nhắc rút phiếu, đồng thời nhấn mạnh tầm quan trọng của việc đánh giá rủi ro khi tương tác với các dự án bên thứ ba.