Crypto Bridge 協定 CrossCurve 遭駭，損失達 300 萬美元

近日，去中心化金融（DeFi）生態再傳安全警訊。專注於跨鏈資產橋接的協定「CrossCurve」——隸屬於 Crypto Bridge Protocol 架構下的一環——遭到駭客攻擊，初步估計造成約 300 萬美元 的資金損失。此事件不僅凸顯跨鏈橋接技術的潛在風險，也再次提醒使用者與開發者：即使採用先進的密碼學設計，若智能合約存在邏輯漏洞，仍可能成為攻擊者的突破口。

事件始末與攻擊手法解析

根據區塊鏈安全公司 CertiK 與 PeckShield 的初步調查報告，攻擊發生於 2024 年 6 月中旬。駭客利用了 CrossCurve 合約中一處未經充分驗證的「流動性池權重調整機制」，透過精心構造的交易序列，誘使協定錯誤計算資產兌換比例，進而以極低成本提領高價值資產。

關鍵漏洞：權重更新未同步驗證

CrossCurve 原本設計允許治理代幣持有者投票調整流動性池中不同資產的權重，以適應市場波動。然而，合約在執行權重變更時，未對即時儲備量進行重新校準，導致攻擊者能在權重更新後、儲備量尚未同步前，發起異常兌換交易。

攻擊流程簡述

• 第一步：觀察到治理提案通過，預期某資產權重將大幅提升。
• 第二步：在權重生效但儲備量未更新的短暫窗口內，存入少量低價值資產。
• 第三步：立即提領大量高價值資產，因協定誤判其「應得份額」而成功套利。

受影響資產與當前應對措施

本次攻擊主要涉及兩種穩定幣與一種藍籌代幣，詳細損失分布如下：

資產類型	損失金額（USD）	是否已凍結
USDC	$1,200,000	部分追回
DAI	$950,000	否
wstETH	$850,000	否

項目團隊已在事發後數小時內暫停所有跨鏈功能，並與 Chainalysis 合作追蹤資金流向。同時，團隊承諾將啟動保險基金，對受影響的流動性提供者（LP）進行補償，但具體方案尚未公布。

「這不是底層密碼學被破解，而是經濟模型與合約邏輯的縫隙被精準利用。」——某匿名 DeFi 安全研究員

對台灣投資者的啟示

儘管台灣用戶直接參與 CrossCurve 的比例不高，但此事件仍具重要警示意義。許多本地投資者透過第三方平台間接使用跨鏈橋服務，若未留意底層協定安全性，可能無意中暴露於風險之中。

如何降低跨鏈使用風險？

• 優先選擇經過多次審計且運行超過一年的橋接協定，如 LayerZero、Wormhole 等。
• 避免將大額資金長期存放於新興或未經實戰考驗的流動性池中。
• 定期關注項目方的治理提案，特別是涉及「參數調整」的內容，評估其對自身持倉的潛在影響。

此外，台灣金管會雖尚未針對 DeFi 橋接協定訂立明確規範，但已多次提醒民眾注意「非監理平台」的資安風險。建議投資者務必自行保管私鑰，並啟用硬體錢包進行大額操作。

常見問題解答

這次攻擊是否影響我在其他 DeFi 平台的資金？

僅當您曾直接或透過聚合器（如 Li.Finance、Socket）使用 CrossCurve 橋接服務，才可能受影響。主流平台如 Aave、Uniswap 本身不受波及。

我該如何確認自己是否為受害者？

可透過 Etherscan 或 Blockchair 查詢您的錢包地址是否曾與 CrossCurve 合約互動（合約地址通常由官方公告提供）。若有疑慮，建議立即撤回剩餘流動性。

台灣有沒有法律途徑可求償？

目前台灣法院對境外 DeFi 協定尚無明確判例。若透過本地交易所參與，可依《金融消費者保護法》向該平台申訴；若直接使用錢包操作，則難以主張權利。

類似漏洞是否會出現在其他跨鏈橋？

有可能。尤其採用「流動性池 + 動態權重」模型的協定（如某些 Curve 分叉）需特別留意。建議查看該協定是否已修補「重入攻擊」與「狀態不一致」等常見缺陷。

未來還能信任跨鏈橋嗎？

跨鏈仍是必要基礎設施，但應採取「最小必要原則」：只在真正需要時使用，且優先選擇採用輕節點驗證（如 IBC）或多重簽名託管（如 Multichain）的方案，而非完全依賴智能合約自動化。