L’essentiel : le 1er février 2026, le bridge CrossCurve (ancien nom EYWA Protocol) est exploité pour environ 3 millions de dollars, répartis sur plusieurs blockchains. La faille : la fonction expressExecute du contrat ReceiverAxelar était publiquement appelable sans validation suffisante de l’origine du message cross-chain. L’attaquant a forgé de faux messages prétendument issus du protocole Axelar, ce qui a déclenché des déverrouillages de tokens non autorisés sur le contrat PortalV2. Selon BlockSec, les pertes totalisent 2,76 M$ : 1,3 M$ sur Ethereum, 1,28 M$ sur Arbitrum, et le reste réparti sur Optimism, Base, Mantle, Kava, Frax, Celo et Blast. 10 wallets sont identifiés. CrossCurve offre un white hat bounty de 10 % avec deadline 72 heures, puis menace d’engager des poursuites légales. Le pattern technique évoque le hack Nomad de 2022 (190 M$) : insufficient input validation sur une fonction sensible.
Que s’est-il passé le 1er février 2026 ?
CrossCurve est un protocole hybride DEX cross-chain + bridge, construit en partenariat avec Curve Finance. Il permet d’échanger des tokens entre plus d’une dizaine de blockchains compatibles EVM (Ethereum, Arbitrum, Optimism, Base, Mantle, Kava, Frax, Celo, Blast, etc.) en utilisant les liquidités existantes sur chaque chaîne.
Le 1er février 2026, le même jour que le Black Sunday II (cf. notre article sur les liquidations 2,2 Md$), un attaquant exécute une série de transactions sur le ReceiverAxelar contract déployé par CrossCurve. En quelques heures, il extrait des tokens d’un total de ~3 M$ depuis les contrats du protocole sur plusieurs chaînes simultanément.
L’attaque ne nécessite ni flash loan, ni manipulation oracle, ni faille cryptographique sophistiquée. Comme le détaille The Block : « le ReceiverAxelar contract avait des vulnérabilités d’access control fondamentales qui permettaient à un attaquant de tromper le contrat en lui faisant croire que les messages venaient d’Axelar alors qu’ils n’en venaient pas ».
Comment le bridge a été exploité techniquement
Le mécanisme normal d’un bridge cross-chain comme CrossCurve suit la séquence suivante : un utilisateur dépose des tokens sur la chaîne A → le bridge envoie un message via Axelar (un protocole de messaging cross-chain) à la chaîne B → le contrat sur la chaîne B reçoit le message, vérifie son authenticité, et libère les tokens correspondants à l’utilisateur.
Le point critique de sécurité est la vérification d’authenticité côté chaîne B. Le contrat doit s’assurer que le message vient bien d’Axelar (et non d’un attaquant qui forge un message). Pour ça, on utilise typiquement le pattern « gateway address validation » : seul un message provenant de l’adresse Axelar légitime est accepté.
CrossCurve avait implémenté ce pattern, mais la fonction expressExecute du contrat ReceiverAxelar était publiquement callable. N’importe qui pouvait appeler cette fonction avec un payload arbitraire qui ressemblait à un message Axelar. Le contrat ne vérifiait pas suffisamment l’origine, et exécutait l’instruction de débloquer des tokens.
Selon l’analyse BlockSec / Halborn, c’est une erreur de classe « access control » au sens classique : une fonction sensible exposée publiquement sans onlyAxelarGateway ou modifier équivalent. L’attaquant a craft des messages forgés qui ont déverrouillé des tokens sur le contrat PortalV2 (qui détient les liquidités du bridge sur chaque chaîne).
Pour comprendre les bases des smart contracts et des exploits, voyez nos articles Comprendre les clés privées et publiques et Truebit hack 26 M$ : un integer overflow vieux de 5 ans.
Les chaînes touchées
Le détail des pertes par blockchain, selon les estimations BlockSec :
- Ethereum : ~1,3 M$ (~43 % du total)
- Arbitrum : ~1,28 M$ (~42 % du total)
- Optimism, Base, Mantle, Kava, Frax, Celo, Blast : ~180 K$ cumulés
Les deux chaînes principales (Ethereum + Arbitrum) absorbent 85 % des pertes, simplement parce que c’est là que se trouvait l’essentiel de la liquidité du bridge. Les autres chaînes ont moins de TVL CrossCurve, donc moins de tokens à siphonner.
C’est typique des hacks de bridges multi-chain : l’attaquant déploie son exploit en parallèle sur toutes les chaînes supportées, et la répartition des pertes suit la répartition de la TVL. Un protocole avec une TVL très concentrée sur une seule chaîne aurait perdu davantage en absolu mais sur un seul réseau.
La gravité de la faille : zéro sophistication
Ce qui rend ce hack instructif, c’est sa simplicité technique. Le DEV.to post-mortem résume crûment : « le root cause n’était pas un flash loan sophistiqué ou une nouvelle attaque cryptographique, c’était une fonction publiquement appelable avec une validation d’input insuffisante ».
C’est un type de vulnérabilité que les outils d’audit automatique modernes (Slither, Mythril, Foundry’s invariant testing) détectent typiquement en moins d’une heure sur un contrat de cette taille. Si CrossCurve avait fait auditer publiquement son contrat ReceiverAxelar par CertiK, PeckShield ou OpenZeppelin Audits, l’erreur aurait quasi certainement été identifiée.
L’absence d’audit public sur ce contrat précis est confirmée par les analyses post-mortem. CrossCurve avait des audits sur d’autres parties de son code, mais pas sur le ReceiverAxelar : comme Solv Protocol qui avait 5 audits sur son GitHub mais pas sur le BRO vault exploité en mars 2026 (cas similaire).
Comparaison avec Nomad 2022 : le pattern se répète
Le hack CrossCurve évoque immédiatement le Nomad bridge hack de août 2022 (190 M$), classé parmi les plus gros exploits de l’histoire DeFi. Le pattern technique était identique : une mauvaise validation des messages cross-chain qui permettait à n’importe qui de drainer les contrats.
Particularité du cas Nomad : une fois la faille publique, plus de 300 wallets ont commencé à drainer simultanément, en mode « feeding frenzy ». Tout le monde sur Twitter pouvait copier-coller le payload exploit et récupérer une part. C’est devenu le « hack le plus démocratique » de l’histoire DeFi.
CrossCurve a évité ce scénario partiellement en fermant la plateforme rapidement dès la détection (quelques heures), ce qui a limité le hack à 10 wallets identifiables et 3 M$. Sans cette réactivité, on aurait pu voir une cascade Nomad-style.
L’analyse Cryptoimpacthub titre simplement : « les bridges cross-chain sont l’attack surface la plus dangereuse de Web3 ». Les statistiques 2022-2026 le confirment : plus de 50 % des fonds volés en DeFi viennent des bridges.
La réponse CrossCurve : bounty puis legal threats
Suite à la détection de l’exploit, l’équipe CrossCurve adopte une réponse en deux temps.
Phase 1 : white hat bounty. CrossCurve identifie publiquement les 10 wallets impliqués dans le drain et offre un bounty de 10 % (soit ~300 K$) si les attaquants retournent les fonds dans les 72 heures. C’est une approche standard depuis 2022, qui a fonctionné dans certains cas (Euler Finance 2023) et échoué dans d’autres (Ronin 2022).
Phase 2 : menace de poursuites. Quand le délai 72h passe sans retour de fonds, CrossCurve annonce des actions légales contre les wallets impliqués. La traçabilité on-chain permet d’identifier les flux ; les exchanges centralisés peuvent être contraints par décision de justice à fournir les KYC associés.
En pratique, ces menaces aboutissent rarement à une récupération complète. Sur les 5 dernières années, moins de 30 % des fonds volés en DeFi ont été récupérés post-hack, malgré les efforts légaux et on-chain. Pour CrossCurve, le résultat probable est une perte définitive d’une grande partie des 3 M$, avec peut-être 200-500 K$ récupérés via coopération exchange.
Pourquoi les bridges restent le maillon faible DeFi
CrossCurve est l’énième exemple d’une vérité structurelle : les bridges cross-chain sont fondamentalement plus exposés que les protocoles mono-chain.
La complexité de validation cross-chain. Un message qui traverse deux blockchains est intrinsèquement plus difficile à valider qu’une transaction sur une seule chaîne. Chaque pont de communication ajoute une couche de risque : oracle, relayer, signing committee, contrats côté source, contrats côté destination.
La concentration de la TVL. Un bridge mature accumule des dizaines voire centaines de millions de dollars dans ses contrats. C’est une cible de choix : un seul exploit donne accès à un pool énorme, là où exploiter un protocole de lending isolé donne accès à une fraction de sa TVL.
La pression de time-to-market. Les équipes bridges sont en concurrence intense (LayerZero, Wormhole, Axelar, CCIP, Synapse, Stargate, etc.). La pression pour shipper rapidement des features cross-chain conduit à raccourcir les audits, à oublier des chemins d’attaque non standards, à laisser des fonctions « expressExecute » publiquement callable.
L’analyse Phemex sur les hacks bridges 2026 compile les principaux exploits : CrossCurve (3 M$ février), CrossChain bridges similaires sur Q1, et plus tard Kelp DAO via LayerZero (292 M$ avril). Le pattern récurrent : failures de validation cross-chain, rarement des bugs cryptographiques inédits.
Comment évaluer la sécurité d’un bridge avant de l’utiliser
Cinq vérifications utiles pour un utilisateur DeFi qui doit bridger ses fonds.
Vérifier l’audit du bridge contract spécifique. Pas l’audit du protocole en général, mais celui du contrat où vos fonds vont transiter. Pour CrossCurve, l’audit du ReceiverAxelar n’existait pas : un check 5 min sur leur page Audits aurait pu signaler le risque.
Comparer la TVL et l’historique. Un bridge avec 100 M$+ de TVL et 2-3 ans d’opération sans hack majeur est statistiquement plus sûr qu’un bridge récent même si plus prometteur sur le papier. LayerZero, Axelar, Wormhole survivent depuis longtemps avec des incidents minimes ; les nouveaux entrants n’ont pas ce track record.
Limiter le montant transité. Sur un bridge moins éprouvé, ne jamais transiter plus que ce que vous accepteriez de perdre. La règle 1-5 % du portfolio max par bridge transit est saine.
Vérifier la rétroaction sur les exchanges. Les bridges qui ont la coopération active de Binance, Coinbase, Kraken pour traçabilité post-incident offrent une protection résiduelle. Ce n’est pas garantie de récupération, mais ça augmente les chances.
Privilégier les transferts directs quand possible. Si vous pouvez transférer entre vos propres wallets via un exchange centralisé (acheter sur la chaîne A, transférer vers exchange, retirer sur la chaîne B), c’est souvent plus sûr et moins cher qu’un bridge DeFi pour les montants modestes.
Pour les bases sur la sécurité crypto, voyez nos guides Protéger vos cryptomonnaies contre les pirates et Se protéger des différents types de hack.
Qu’est-ce qu’un bridge cross-chain exactement ?
Un bridge cross-chain est un protocole qui permet de transférer la valeur d’une blockchain à une autre. Concrètement, il bloque vos tokens sur la chaîne source dans un contrat verrouillé, puis émet un montant équivalent en tokens « wrappés » sur la chaîne destination via un mécanisme de messaging (Axelar, LayerZero, Wormhole, etc.). Quand vous voulez revenir, le processus s’inverse. Les bridges sont essentiels pour utiliser des protocoles DeFi inter-chaînes, mais ils accumulent de la TVL importante, ce qui en fait des cibles de choix pour les hacks.
CrossCurve va-t-il récupérer les fonds volés ?
Probablement pas en totalité. Sur les hacks DeFi 2022-2026, moins de 30 % des fonds volés ont été récupérés en moyenne. CrossCurve a offert un white hat bounty de 10 % puis menacé de poursuites légales, mais l’attaquant n’a pas répondu au délai 72h. Le scénario réaliste : 200-500 K$ récupérés via coopération exchange si les fonds passent par des plateformes KYC, et le reste définitivement perdu. Pour les utilisateurs touchés, attendre la communication officielle de CrossCurve sur les compensations.
Mes propres tokens sont-ils en danger sur d’autres bridges ?
Le risque dépend du bridge spécifique. Pour les blue chips (Wormhole, LayerZero, Axelar, CCIP) avec audit récent et TVL importante, le risque relatif est faible mais jamais nul. Pour les bridges plus petits ou récents, le risque augmente significativement. La règle prudente : ne pas garder de tokens stockés dans un bridge plus longtemps que nécessaire. Bridger, utiliser le protocole cible, puis bridger retour si besoin. Garder du wrapped en stockage long terme expose à des incidents comme CrossCurve.
Pourquoi le hack Nomad 2022 est-il comparé ?
Même pattern technique : une mauvaise validation des messages cross-chain qui permet à n’importe qui de drainer le contrat. Différence : Nomad a perdu 190 M$ et plus de 300 wallets ont participé au drain en mode feeding frenzy. CrossCurve a perdu 3 M$ et 10 wallets identifiés, principalement parce que la plateforme a été fermée rapidement après détection. Sans cette réactivité, on aurait pu voir une cascade Nomad-style sur 10 chaînes.
L’audit du contrat aurait-il prévenu cet exploit ?
Très probablement oui. Les outils d’audit modernes (Slither, Mythril, Foundry invariant testing) détectent automatiquement les fonctions publiquement callable avec validation insuffisante. Les cabinets d’audit sérieux (CertiK, PeckShield, OpenZeppelin Audits, Trail of Bits) auraient également flaggé l’absence du modifier onlyAxelarGateway sur expressExecute. Coût d’un audit complet : 50-100 K$. Coût du hack : 3 M$ + dégradation réputationnelle. Le ROI d’un audit est massivement positif.
Comment savoir si un bridge a été audité ?
Vérifier la page « Audits » ou « Security » du site officiel. Croiser avec les bases publiques : CertiK Skynet (skynet.certik.com), PeckShield (peckshield.com), OpenZeppelin Audits (blog.openzeppelin.com). Pour chaque contrat critique, regarder la date du dernier audit (idéalement < 12 mois) et le scope couvert (le contrat précis où passent les fonds, pas juste « le protocole »). Si rien de tout ça n’est trouvable publiquement, c’est un drapeau rouge sérieux.
Que retenir du hack CrossCurve
Le hack CrossCurve du 1er février 2026 est moins remarquable par son montant (3 M$, modeste à l’échelle des hacks 2026) que par sa pédagogie. Une fonction publiquement callable, une validation manquante, un audit incomplet, et 3 M$ partent en quelques heures, répartis sur 9 blockchains.
Pour un utilisateur retail français, deux conclusions pratiques. Un, les bridges restent l’attack surface la plus dangereuse de DeFi en 2026. CrossCurve s’ajoute à une longue liste (Nomad, Wormhole, Ronin, Multichain, Harmony) qui rend la prudence obligatoire. Deux, un audit incomplet est presque pire qu’aucun audit : il donne un faux sentiment de sécurité aux utilisateurs qui ne creusent pas le scope. Toujours vérifier que votre chemin de transit est couvert par les audits publiés.
Pour aller plus loin, voyez aussi nos articles sur le DeFi reboot Ethereum/Solana, le hack Truebit (autre cas d’audit manquant), et le hack Step Finance (faille humaine plutôt que technique).
