A CrossCurve, protocolo de liquidez cross-chain, confirma um exploit de US$ 3 milhões via mensagens cross-chain forjadas que burlaram validações de segurança. O ataque ocorreu em múltiplas redes e o time pede que usuários pausem todas as interações imediatamente enquanto investigam. Se você tem posições em pools relacionados ou usa bridges semelhantes, o risco aqui é significativo – verifique seus fundos agora para evitar perdas adicionais. Isso reforça a necessidade de cautela em protocolos de bridge.
Detalhes do Exploit: Mensagens Forjadas no Coração do Ataque
De acordo com análises de segurança, o vetor de ataque explorou uma vulnerabilidade no contrato ReceiverAxelar. Atacantes puderam chamar a função expressExecute com uma mensagem cross-chain spoofed – ou seja, uma comunicação falsa entre chains que bypassou a validação do gateway. Isso liberou fundos diretamente no contrato PortalV2, drenando cerca de US$ 3 milhões em ativos.
É importante considerar que bridges cross-chain como a CrossCurve (ex-EYWA Protocol, em parceria com Curve Finance) dependem de validações múltiplas para evitar pontos únicos de falha. Aqui, o risco foi uma falha na verificação de mensagens, permitindo que qualquer um simulasse uma transação legítima. Usuários expostos incluem aqueles com votos alocados em pools Eywa ou posições ativas no protocolo.
O saldo do PortalV2 caiu a zero por volta de 31 de janeiro, conforme dados on-chain citados por alertas de segurança como Defimon.
Redes Afetadas e Contratos em Risco
O incidente é multi-rede, impactando várias blockchains conectadas pela bridge da CrossCurve. Embora detalhes exatos das chains não tenham sido listados publicamente ainda, o mecanismo envolve protocolos de consenso como Axelar para roteamento de mensagens. Atenção para contratos como ReceiverAxelar e PortalV2, onde o unlock indevido ocorreu.
A Curve Finance, parceira do projeto, emitiu alerta: quem alocou votos em pools relacionados deve revisar posições e considerar removê-las. "Permaneçam vigilantes e tomem decisões baseadas em risco", orientou o time. Esse é um lembrete de que até projetos auditados podem ter brechas – revise suas interações recentes com CrossCurve em exploradores como Etherscan ou equivalentes nas chains envolvidas.
Perdas totais estimadas em US$ 3 milhões, mas sem relatório post-mortem oficial até o momento, o número exato pode variar.
Ações Imediatas: Proteja Seus Fundos
Primeiro e mais urgente: pare de interagir com a CrossCurve agora. Não aprove transações, não vote em pools e não deposite fundos até anúncio oficial de correção. Se você tem exposição:
- Cheque seus wallets por interações recentes com contratos CrossCurve via exploradores on-chain.
- Remova votos ou liquidez de pools Eywa/CrossCurve, conforme orientação da Curve.
- Monitore os 10 endereços listados pelo CEO Boris Povar – se afetado, reporte.
- Considere diversificar para protocolos com histórico mais robusto de segurança.
O risco aqui é de drenagem adicional se a vulnerabilidade persistir. Sempre priorize protocolos com múltiplas auditorias e track record comprovado.
Resposta do Protocolo e Lições para o Mercado
A CrossCurve identificou 10 endereços receptores e oferece 10% de bounty (sob política SafeHarbor WhiteHat) para retorno de fundos em 72 horas. Sem cooperação, prometem ações legais, incluindo litígios civis e coordenação para congelamento de ativos com exchanges e law enforcement. "Não acreditamos em intenção maliciosa inicial", disse o CEO, mas a paciência é limitada.
Esse exploit segue o de SagaEVM (US$ 7 milhões semanas atrás), destacando vulnerabilidades recorrentes em bridges. Para investidores: avalie sempre o risco de smart contracts terceiros. Histórico ensina – falhas semelhantes custaram bilhões ao DeFi. Mantenha posições conservadoras e fique atento a atualizações oficiais.
💰 Comece a investir em criptomoedas: Abra sua conta gratuita na Binance e acesse um dos maiores ecossistemas cripto do mundo.
📢 Este artigo contém links de afiliados. Ao se cadastrar através desses links, você ajuda a manter o blog sem custo adicional para você.
⚠️ Este conteúdo é informativo e não constitui recomendação de investimento. Faça sua própria pesquisa antes de tomar decisões financeiras.
