CrossCurve, децентралізований кросчейн-протокол ліквідності, підтвердив, що його кросчейн-міст зазнав кібернетичної атаки, унаслідок якої було втрачено орієнтовно $3 млн.
Цей інцидент вкотре підкреслює зростання обсягів протиправного привласнення цифрових активів: у січні 2026 року загальні втрати галузі сягнули майже $400 млн.
SponsoredCrossCurve: деталі атаки та реакція
Експлуатація уразливості CrossCurve фокусувалася на дефекті в одному зі смартконтрактів. Після інциденту представники протоколу оперативно оприлюднили спеціальне попередження про підвищену загрозу безпеці через свій офіційний акаунт у X (раніше Twitter). Користувачів закликали негайно призупинити будь-яку взаємодію з платформою до завершення розслідування причин атаки.
«Наш міст наразі під атакою — фіксується зловживання уразливістю одного зі смартконтрактів. Просимо утриматись від будь-яких операцій із CrossCurve під час поточного розслідування», — повідомили представники CrossCurve у своєму зверненні.
Сервіс оперативного моніторингу безпеки Defimon Alerts, який управляється Decurity, підтвердив, що збитки від експлойту становили близько $3 млн на різних блокчейн-мережах.
«Будь-хто міг викликати функцію expressExecute у контракті ReceiverAxelar, використавши підроблене кросчейн-повідомлення, обійти gateway-валідацію та ініціювати розблокування на PortalV2», — йдеться у аналітиці.
Під час подальшої комунікації команда CrossCurve повідомила, що встановила 10 адрес гаманців, які отримали токени під час експлойту.
Sponsored«Ці токени були незаконно вилучені в користувачів шляхом експлуатації уразливості смартконтракту. На даний момент ми не вбачаємо ознак цілеспрямованих злочинних дій з вашого боку. Сподіваємось на співпрацю щодо повернення цих коштів», — наголосили розробники у зверненні.
У відповідь на інцидент CrossCurve оголосив про активацію політики SafeHarbor WhiteHat, запропонувавши винагороду до 10%. Такі підходи нерідко практикуються у криптоіндустрії для стимулювання конструктивного діалогу та доброчесної поведінки учасників екосистеми.
«Ми пропонуємо винагороду до 10% для WhiteHat, які повернуть втрачені активи. Таким чином, за умови повернення основної суми, ви маєте право зберегти до 10% активів», — йдеться у повідомленні.
Протокол рекомендує звертатися безпосередньо через електронну адресу або, за необхідності анонімності, повертати кошти на визначену адресу гаманця.
Команда попередила: якщо контакт не буде встановлено і активи не повернуті протягом 72 годин із моменту блоку 24 364 392, випадок вважатиметься умисним порушенням. У разі невиконання вимог будуть ініційовані подальші дії.
Серед ескалаційних заходів – подання матеріалів до правоохоронних органів, відкриття цивільних позовів, тісна співпраця з централізованими біржами та емітентами стейблкойнів для блокування активів, публічне розкриття адресу, комунікація з аналітичними сервісами для блокчейн-розслідувань.
Даний інцидент доповнює низку кібератак, що фіксувалися на початку року. У січні 2026 року зловмисники викрали майже $400 млн у вигляді цифрових активів. Згідно з даними компанії CertiK, яка спеціалізується на аудиті безпеки блокчейн-проєктів, за місяць сталося понад 40 значущих інцидентів.
Динаміка відображає ширший тренд минулого року: 2025 залишився роком з максимальними втратами у сфері криптовалютних злочинів, із сукупними збитками понад $1 млрд.
