CrossCurve Bridge Exploit Drains About $3M, Rekindling Cross-Chain Risk

ccn.comDipublikasikan tanggal 2026-02-02Terakhir diperbarui pada 2026-02-02

Abstrak

Cross-chain liquidity protocol CrossCurve suffered an exploit on February 2, with estimated losses around $3 million across multiple networks. The attack involved a spoofed cross-chain message that bypassed validation, allowing the attacker to trigger unauthorized token unlocks on the destination chain. The protocol urged users to pause interactions and launched an investigation. CEO Boris Povar later published ten Ethereum addresses linked to the stolen funds, offering a 10% bounty for their return within 72 hours and threatening legal action. The incident highlights persistent vulnerabilities in cross-chain bridges, where security often conflicts with user demand for speed. Verification failures and assumptions in smart contract logic remain critical risks, as a single flaw can lead to multi-network exploits.

Key Takeaways
  • CrossCurve said its bridge was “under attack” on Feb. 2 and told users to pause interactions.
  • Defimon Alerts, linked to Decurity, estimated losses around $3 million across “several networks.”
  • Early reporting and security posts described a spoofed cross-chain message that bypassed validation and triggered token unlocks on the destination chain.

Cross-chain liquidity protocol CrossCurve said its bridge was exploited on Feb. 2, with security monitors estimating roughly $3 million in losses across multiple networks.

The protocol urged users to pause interactions while it investigated.

Later, CEO Boris Povar published ten Ethereum addresses he said received funds and offered a bounty of up to 10% if the assets were returned within 72 hours, warning the project would pursue legal action if no contact was made.

Try Our Recommended Crypto Exchanges
Sponsored
Disclosure
We sometimes use affiliate links in our content, when clicking on those we might receive a commission at no extra cost to you. By using this website you agree to our terms and conditions and privacy policy.

Bitget

promotions
New user rewards up to 6,200 USDT.
Coins
88
Claim Offer

Bitunix

promotions
Receive up to $100,000 worth of exclusive gifts for newcomers upon registration.
Coins
151
Claim Offer

BTCC

promotions
Get up to 10,055 USDT when you register, verify, and make the first deposit and the first trades.
Coins
162
Claim Offer
Explore All Offers

CrossCurve Attack Timeline

CrossCurve said on Feb. 2 that its bridge was “under attack,” involving exploitation of a vulnerability in one of the smart contracts used in its cross-chain system.

The exploit allowed an attacker to spoof a message to bypass validation and unlock tokens.

One quoted description said an attacker could call an “express” execution path on a receiver contract using a forged cross-chain message, then trigger an unlock on a portal contract.

CrossCurve has not published a full post-mortem or confirmed a final loss figure. Separate estimates clustered around $3 million.

In a follow-up post, Povar said the team identified ten Ethereum addresses tied to received funds and set a 72-hour window to return assets or make contact before escalation.

He said the project was prepared to pursue civil and criminal remedies and coordinate with industry partners to freeze assets.

CrossCurve did not immediately respond to a request for comment on the specific bug, the final loss amount, or a timeline for reopening.

A separate warning came from Curve Finance, which said users allocated to CrossCurve pools “may wish to review their positions” and consider removing votes, urging “risk-aware decisions” when interacting with third parties.

Why Spoofed Messages and Validation Assumptions Keep Winning

Bridge exploits often look like “just a smart contract bug.” The deeper pattern is verification failure.

A bridge is a promise: release assets on Chain B because something real happened on Chain A. The hard part is proving that “something real” without trusting an attacker’s message.

In general message passing, the destination contract is supposed to verify that a call was approved by the validator set by checking with the gateway (for example, via a validation function) before executing.

If a receiver contract accepts an alternate path that skips or weakens that check, a forged message can become a payout.

That’s why the “receiver side” matters as much as the messaging layer.

A protocol can route messages through reputable infrastructure and still lose funds if its own destination contract implements permissive logic, unsafe fast paths, or incorrect assumptions about upstream guarantees.

CrossCurve’s own documentation frames cross-chain risk as a “black swan” category and describes a design goal of routing through multiple independent validation protocols (“Consensus Bridge”) to reduce single points of failure.

But even multi-path designs can be undermined by a weak integration contract at the edge.

The Uncomfortable Truth: Bridge UX Wants Speed, Security Wants Paranoia

Users want bridging to feel instant: fewer clicks, less waiting, faster finality.

Security wants the opposite: more confirmations, tighter limits, and “do nothing unless you’re sure.”

Some cross-chain stacks explicitly offer speed features like “express” execution, where off-chain actors can accelerate delivery of an intended outcome.

The trade-off is that fast paths demand extra care in how authenticity is enforced, because the system is trying to move before the slowest proofs arrive.

This tension is why bridge hacks stay evergreen. Bridges concentrate liquidity, and a single verification bypass can unlock assets across multiple networks in one run.

What To Watch Next

CrossCurve has not yet released a full incident report. In most bridge incidents, the next signals that matter are:

  • Whether contracts remain paused and what code changes ship before any restart.
  • Whether the attacker returns funds, often in exchange for a bounty.
  • Whether stablecoin issuers, exchanges, or analytics firms flag and freeze related addresses.
  • Whether independent security teams publish a corroborated root-cause analysis.

For now, the takeaway is familiar and still useful: cross-chain bridges remain one of crypto’s most repeatable failure points, because “truth across chains” is a hard engineering problem with real money behind every assumption.

This is a developing story and will be updated.

Recommended Secure Partners
  • Safest Exchanges Best Safest (Most Secure) Crypto Exchanges? Check Out These Exchanges
  • Secure Crypto Wallets Crypto Wallets Reviews and Ranked
  • Bet Anonymously Check Out Our Recommended No KYC Casinos

Pertanyaan Terkait

QWhat was the estimated financial loss from the CrossCurve bridge exploit?

AThe estimated financial loss from the CrossCurve bridge exploit was approximately $3 million across several networks.

QWhat was the technical cause of the CrossCurve exploit as described in early reports?

AThe exploit was caused by a spoofed cross-chain message that bypassed validation, which then triggered unauthorized token unlocks on the destination chain.

QWhat action did CrossCurve's CEO take in response to the attack?

ACrossCurve's CEO, Boris Povar, published ten Ethereum addresses that received the funds and offered a bounty of up to 10% if the assets were returned within 72 hours, warning of legal action if no contact was made.

QAccording to the article, what is the fundamental tension that makes bridge exploits a recurring problem?

AThe fundamental tension is that users want bridging to be fast and instant, while security requires more confirmations, tighter limits, and cautious verification, creating a conflict between user experience and security paranoia.

QWhat general warning did Curve Finance issue in relation to this incident?

ACurve Finance warned users allocated to CrossCurve pools to review their positions and consider removing votes, urging them to make 'risk-aware decisions' when interacting with third parties.

Bacaan Terkait

Polymarket yang Tersendat: Ujian Sebenarnya Setelah Melewati Masa Kejayaan Traffic Telah Tiba

Polymarket, platform prediksi terkemuka, menghadapi masalah kelambatan dan pengalaman perdagangan yang memburuk akibat pertumbuhan yang melampaui kapasitas infrastruktur saat ini. Wakil Presiden Teknik DeFi Polymarket, Josh Stevens, mengakui masalah ini dan mengumumkan rencana perbaikan, termasuk migrasi rantai (chain migration) dari Polygon. Awalnya, Polygon dipilih karena biaya rendah dan kemudahan penggunaan, tetapi kini menjadi penghambat pertumbuhan seiring Polymarket yang berevolusi menjadi platform perdagangan yang lebih kompleks dan frekuensi tinggi. Rencana perbaikan tidak hanya mencakup migrasi rantai, tetapi juga pembangunan ulang sistem order book (CLOB), pengurangan penundaan data on-chain, perbaikan masalah pembatalan transaksi, peningkatan kinerja situs web, dan pengembangan produk perpetual contracts (Perps). Beberapa blockchain seperti Solana, Sui, dan Algorand telah menawarkan diri untuk menjadi tuan rumah baru, sementara Polygon berusaha mempertahankan Polymarket mengingat kontribusinya yang signifikan terhadap pendapatan gas. Tantangan terbesar Polymarket kini adalah membangun infrastruktur yang stabil dan dapat diandalkan untuk mempertahankan kepercayaan pengguna dalam melakukan transaksi频繁.

Odaily星球日报04/27 03:21

Polymarket yang Tersendat: Ujian Sebenarnya Setelah Melewati Masa Kejayaan Traffic Telah Tiba

Odaily星球日报04/27 03:21

Anggota Kongres Kunci 'Melunak', Rintangan Terbesar Pengangkatan Wash sebagai Ketua Fed pada 15 Mei Telah Tersingkir

Hambatan politik utama untuk konfirmasi Kevin Warsh sebagai ketua Fed telah tersingkir setelah Senator Republik Thom Tillis mencabut penentangannya. Tillis sebelumnya khawatir investigasi kriminal terhadap ketua Fed incumbent Jerome Powell mengancam independensi bank sentral. Penarikan investigasi oleh Jaksa Federal memenuhi kekhawatirannya. Komite Perbankan Senat dijadwalkan mengadakan pemungutan suara untuk nominasi Warsh pada 29 April. Jika lolos, nominasi akan diajukan ke Senat penuh, dengan konfirmasi akhir diperkirakan bertepatan dengan berakhirnya masa jabatan Powell pada 15 Mei. Kebijakan Warsh berpotensi mengubah pasar secara signifikan. Dia berencana menghapus "dot plot" (proyeksi suku bunga), meninjau kembali pedoman kebijakan, dan berpotensi mengurangi frekuensi rapat. Langkah-langkah ini dapat mendekonstruksi "forward guidance" yang menjadi dasar penetapan harga aset global selama 15 tahun terakhir, memicu penilaian ulang besar-besaran di pasar saham, obligasi, dan valuta asing.

marsbit04/27 02:58

Anggota Kongres Kunci 'Melunak', Rintangan Terbesar Pengangkatan Wash sebagai Ketua Fed pada 15 Mei Telah Tersingkir

marsbit04/27 02:58

Menurunkan Ekspektasi untuk Bull Market Bitcoin Berikutnya

Artikel ini membahas penurunan ekspektasi penulis terhadap potensi kenaikan harga Bitcoin (BTC) pada siklus bull market berikutnya. Penulis, Alex Xu, yang sebelumnya memegang BTC sebagai aset terbesarnya, telah mengurangi porsi BTC dari full menjadi sekitar 30% pada kisaran harga $100.000-$120.000, dan kembali mengurangi di level $78.000-$79.000. Alasan utama penurunan ekspektasi ini adalah: 1. **Energi Penggerak yang Melemah:** Narasi adopsi BTC yang mendorong kenaikan signifikan di siklus sebelumnya (dari aset niche hingga institusi besar via ETF) sulit terulang. Langkah berikutnya, seperti masuknya BTC ke dalam cadangan bank sentral negara maju, dianggap sangat sulit tercapai dalam 2-3 tahun ke depan. 2. **Biaya Peluang Pribadi:** Penulis menemukan peluang investasi yang lebih menarik di perusahaan-perusahaan lain. 3. **Dampak Resesi Industri Kripto:** Menyusutnya industri kripto secara keseluruhan (banyak model bisnis seperti SocialFi dan GameFi terbukti gagal) dapat memperlambat pertumbuhan basis pemegang BTC. 4. **Biaya Pendanaan Pembeli Utama:** Perusahaan pembeli BTC terbesar, Stratis, menghadapi kenaikan biaya pendanaan yang memberatkan, yang dapat mengurangi kecepatan pembeliannya dan memberi tekanan jual. 5. **Pesaing Baru untuk "Emas Digital":** Hadirnya "tokenized gold" (emas yang ditokenisasi) menawarkan keunggulan yang mirip dengan BTC (seperti dapat dibagi dan dipindahkan) sehingga menjadi pesaing serius. 6. **Masalah Anggaran Keamanan:** Imbalan miner yang terus berkurang pasca halving menimbulkan kekhawatiran tentang keamanan jaringan, sementara upaya mencari sumber fee baru seperti ordinals dan L2 dinilai gagal. Penulis menyatakan tetap memegang BTC sebagai aset besar dan terbuka untuk membeli kembali jika alasannya tidak lagi relevan atau muncul faktor positif baru, meski siap menerima jika harganya sudah terlalu tinggi untuk dibeli kembali.

marsbit04/27 02:47

Menurunkan Ekspektasi untuk Bull Market Bitcoin Berikutnya

marsbit04/27 02:47

Prediksi Pasar Tidak Dapat Terlepas dari Perdagangan Orang Dalam, Tapi Perdagangan Orang Dalam Sedang Membunuhnya

Sebuah pasar prediksi menghadapi dilema mendasar: mereka bergantung pada informasi orang dalam untuk menghasilkan harga yang akurat, tetapi aktivitas orang dalam justru dapat merusak kepercayaan investor ritel. Kasus terbaru melibatkan seorang tentara AS yang diduga menghasilkan $400.000 di Polymarket menggunakan informasi rahasia tentang operasi militer, menyoroti masalah perdagangan orang dalam yang sistemik. Platform seperti Polymarket dan Kalshi secara implisit mendorong partisipasi orang dalam untuk meningkatkan akurasi prediksi, namun juga memiliki kebijakan yang melarang perdagangan berdasarkan informasi non-publik. Kontradiksi ini menciptakan ketegangan antara efisiensi informasi dan persepsi keadilan. Jika terlalu longgar, investor ritel akan merasa dimanipulasi dan meninggalkan pasar. Jika terlalu ketat, pasar kehilangan sumber informasi paling berharga dan menjadi kurang akurat. Masa depan pasar prediksi tergantung pada kemampuan menemukan titik optimal: mempertahankan likuiditas dan kepercayaan ritel sambil tetap memberi insentif bagi informasi orang dalam yang terbatas. Tanpa keseimbangan ini, risiko kegagalan sistemik mengancam kelangsungan jangka panjangnya.

marsbit04/27 02:38

Prediksi Pasar Tidak Dapat Terlepas dari Perdagangan Orang Dalam, Tapi Perdagangan Orang Dalam Sedang Membunuhnya

marsbit04/27 02:38

Selat Hormuz, Bisakah Iran "Mengendalikannya"?

Menurut laporan media Iran, Iran telah menyusun rencana komprehensif untuk mengelola Selat Hormuz. Rencana ini mencakup klaim kedaulatan penuh atas selat tersebut, mewajibkan kapal asing memperoleh izin transit, menerapkan biaya transit (dengan preferensi pembayaran dalam rial), serta melarang mutus kapal-kapal dari negara musuh, khususnya Israel. Analis menilai langkah ini bertujuan untuk: 1. Menekan Amerika Serikat dan Israel secara ekonomi dan diplomatis dengan memanfaatkan pengaruh Iran atas jalur pelayaran vital ini. 2. Menciptakan sumber pendapatan baru yang signifikan (potensi mencapai miliaran dolar per tahun) untuk menghadapi sanksi dan mendanai rekonstruksi. 3. Memberikan ruang negosiasi dengan AS, dengan menjadikan izin transit untuk kapal AS sebagai alat tawar. Namun, implementasi rencana ini diragungkan karena beberapa hal: * Tantangan operasional dalam memberlakukan aturan di selat yang padat dan diawasi militer asing. * Protes internasional atas dasar hukum dan dampak ekonomi terhadap biaya transportasi global. * Tekanan balik dari AS, termasuk blokade terhadap pelabuhan Iran dan ancaman mencegat kapal yang membayar biaya transit. * Ketidakpastian apakah rencana ini benar-benar akan diterapkan atau hanya sekadar strategi negosiasi.

marsbit04/27 01:32

Selat Hormuz, Bisakah Iran "Mengendalikannya"?

marsbit04/27 01:32

Trading

Spot
Futures
活动图片