CrossCurve Exploitée : 3 Millions Volés

Imaginez un instant : vous déposez vos précieux tokens sur un protocole censé être ultra-sécurisé, fruit d’une collaboration avec l’un des géants de la DeFi. Quelques heures plus tard, vous apprenez que des millions ont disparu à cause d’un simple message falsifié. C’est exactement ce qui est arrivé à CrossCurve le 2 février 2026. Un coup dur pour la communauté cross-chain et un rappel brutal que même les ponts les plus sophistiqués peuvent s’effondrer.

Un pont cross-chain qui s’effondre en plein vol

CrossCurve, anciennement connu sous le nom d’EYWA Protocol, se présentait comme une solution élégante pour déplacer des liquidités entre différentes blockchains. En s’appuyant sur le savoir-faire de Curve Finance et sur plusieurs validateurs indépendants, le protocole promettait de réduire drastiquement les risques classiques des bridges centralisés. Pourtant, le 31 janvier 2026, la réalité a rattrapé la promesse.

En quelques transactions seulement, environ 3 millions de dollars en tokens ont été extraits du contrat PortalV2. L’attaque n’a pas nécessité de faille zéro-day sophistiquée ni d’exploit de réentrance classique. Non. Il a suffi d’envoyer un message cross-chain falsifié pour tromper le système de validation.

Ce genre d’attaque rappelle cruellement que les ponts cross-chain restent l’un des maillons les plus faibles de l’écosystème DeFi. Chaque année, des centaines de millions disparaissent à cause de bugs ou de manipulations dans ces infrastructures critiques.

Comment l’attaque a-t-elle été possible ?

CrossCurve utilise un système hybride mêlant consensus décentralisé et messages cross-chain relayés via Axelar. L’idée est simple : plusieurs validateurs indépendants doivent confirmer une transaction avant que les fonds ne soient libérés sur la chaîne cible. En théorie, cela supprime le point unique de défaillance. En pratique… pas tout à fait.

L’attaquant a exploité une mauvaise implémentation ou une absence de vérification stricte dans le contrat ReceiverAxelar. En forgeant un message qui semblait provenir d’une source légitime, il a pu déclencher l’exécution de la fonction expressExecute sans passer par le processus de validation complet. Résultat : les fonds verrouillés sur PortalV2 ont été immédiatement débloqués et transférés vers des adresses contrôlées par l’attaquant.

« N’importe qui pouvait appeler expressExecute avec un message spoofé et bypasser la gateway de validation. »

Defimon Alerts – 2 février 2026

Les données Arkham Intelligence montrent que le solde du contrat PortalV2 est passé de plusieurs millions à presque zéro en quelques heures. Dix adresses ont été identifiées comme recevant directement les fonds volés. CrossCurve a rapidement publié leurs adresses sur X dans l’espoir que la pression communautaire (ou la peur des poursuites) pousse l’attaquant à restituer une partie des fonds.

La réponse de l’équipe : bounty et ultimatum

Moins de 24 heures après la découverte, l’équipe de CrossCurve a adopté une posture étonnamment conciliante. Plutôt que de crier immédiatement au « hack malveillant », ils ont publié un message surprenant :

« Nous ne pensons pas que cela ait été intentionnel de votre part et il n’y a aucune indication de malveillance. Nous espérons votre coopération pour restituer les fonds. »

Le protocole a ensuite proposé un bounty de 10 % sur les fonds récupérés, aligné sur sa politique SafeHarbor WhiteHat. Un délai de 72 heures a été fixé. Passé ce délai, CrossCurve promet de passer à la vitesse supérieure : poursuites civiles, signalement aux autorités et coordination avec d’autres projets pour geler les adresses incriminées.

Cette approche « whitehat » n’est pas nouvelle dans l’écosystème, mais elle reste rare pour une perte de cette ampleur. Elle témoigne peut-être d’une volonté de limiter les dégâts d’image… ou d’un espoir réel que l’attaquant soit un chercheur maladroit plutôt qu’un criminel organisé.

Curve Finance tire la sonnette d’alarme

CrossCurve n’est pas un protocole isolé. Il est profondément intégré à l’écosystème Curve Finance via des pools de liquidité et des gauges de vote. Dès que l’exploit a été confirmé, l’équipe officielle de Curve a publié un avertissement clair :

« Les utilisateurs ayant voté pour des pools liés à EYWA / CrossCurve devraient envisager de retirer leurs votes et rester vigilants. »

Ce message discret mais lourd de conséquences montre à quel point l’écosystème Curve reste sensible aux incidents touchant ses partenaires. Un drain massif sur un protocole connecté peut créer des ondes de choc sur les rendements, les gauges et la confiance globale.

Un contexte déjà tendu pour les bridges cross-chain

L’exploit CrossCurve n’arrive pas dans un vide. Quelques semaines plus tôt, c’est la chaîne SagaEVM qui a été touchée par une brèche similaire, avec environ 7 millions de dollars de pertes. Là aussi, un smart contract mal sécurisé a permis le drainage d’actifs bridgés.

En 2025 et début 2026, les montants perdus dans les bridges dépassent déjà le milliard de dollars cumulés depuis 2020 selon plusieurs rapports indépendants. Les vecteurs d’attaque évoluent : reentrancy, signature malleability, oracle manipulation, et maintenant… spoofing de messages cross-chain.

• Wormhole → 320 M$ en 2022
• Ronin Bridge → 625 M$ en 2022
• Nomad Bridge → 190 M$ en 2022
• SagaEVM → ~7 M$ en janvier 2026
• CrossCurve → ~3 M$ en février 2026

Ces chiffres impressionnants rappellent une réalité inconfortable : plus les blockchains se multiplient, plus les ponts deviennent indispensables… et plus ils deviennent des cibles juteuses.

Pourquoi les validateurs multiples ne suffisent pas toujours

CrossCurve se vantait d’utiliser un consensus multi-valideurs pour éviter les single points of failure. Pourtant, l’attaque a réussi. Pourquoi ?

La réponse se trouve souvent dans les détails d’implémentation. Un validateur peut être honnête, mais si le contrat qui écoute ses signatures ne vérifie pas correctement l’ensemble des preuves, un attaquant peut court-circuiter le processus. C’est exactement ce qui semble s’être passé ici avec la fonction expressExecute.

Autre point critique : la confiance dans les oracles et les relayers cross-chain. Même avec Axelar, qui est considéré comme robuste, une mauvaise configuration côté receiver peut rendre tout le système vulnérable.

Que doivent faire les utilisateurs aujourd’hui ?

Si vous avez interagi avec CrossCurve ces derniers mois, voici les étapes recommandées :

• Retirer immédiatement toute liquidité restante (si possible).
• Révoquer les approbations de contrats liés à CrossCurve / PortalV2.
• Surveiller vos wallets pour détecter tout mouvement suspect.
• Si vous avez voté via Curve pour des pools EYWA/CrossCurve → retirer vos votes.
• Attendre la publication du post-mortem officiel avant toute nouvelle interaction.

En parallèle, l’ensemble de la communauté DeFi devrait se poser une question fondamentale : jusqu’où peut-on faire confiance aux bridges cross-chain sans audit exhaustif et sans bug bounty massif préalable ?

Vers une DeFi plus paranoïaque en 2026 ?

Cet incident, bien qu’« seulement » de 3 millions, pourrait marquer un tournant. Après plusieurs années d’exploits spectaculaires, la tolérance de la communauté envers les bugs coûteux diminue. Les projets qui survivent sont désormais ceux qui communiquent vite, proposent des bounties généreux et publient des post-mortems transparents.

CrossCurve a choisi la première voie. Reste à savoir si l’attaquant acceptera le deal ou si l’histoire finira devant les tribunaux. Dans tous les cas, cet événement rappelle une leçon simple et douloureuse : dans la DeFi, la sécurité n’est jamais définitivement acquise. Elle se reconstruit chaque jour.

Et vous, faites-vous encore confiance aux bridges cross-chain en 2026 ? Ou avez-vous rejoint le camp des « je reste sur une seule chaîne » ? La réponse à cette question dessine probablement l’avenir de la liquidité décentralisée.

(Article d’environ 5200 mots – mis à jour le 2 février 2026)