# RugTrace 调查报告

![Case-level investigation graph](/case-reports/crosscurve-bridge-breach-2026-02/graph.svg)

## 1. 执行摘要
本报告基于提供的案例级数据，对一起疑似针对 CrossCurve 跨链桥的漏洞事件进行分析。根据公共报告，该事件导致约 300 万美元损失。资金流显示，损失从受害者地址（“CrossCurve bridge breach”）转移至一个被标记为“合并攻击源”的可疑地址。随后，该可疑地址与 Axelar 跨链网络及 Axelarscan 浏览器产生了上下文关联。分析基于报告的案例级信息，尚未附加经审查的 Solana 链上交易签名。

## 2. 输入交易
- **签名**: `case:crosscurve-bridge-breach-2026-02`
- **区块时间**: 2026-05-01T10:19:47.732Z
- **签名者**: `CrossCurve bridge breach`
- **原生转账**:
    1. 从 `CrossCurve bridge breach` 向 `Merged attack source` 转移 3,000,000 USD/SOL，原因为“报告的跨链消息欺骗/桥接漏洞”。
    2. 从 `Merged attack source` 向 `Axelar` 转移 0 SOL，原因为“公共报告中提及的桥接网络上下文”。
    3. 从 `Merged attack source` 向 `Axelarscan` 转移 0 SOL，原因为“用于审查跨链消息的浏览器入口点”。
- **代币转账**: 无。
- **程序交互**: 与 `Curve` 程序存在交互。

## 3. 受害者资金流
根据提供的图谱和交易数据，资金从受害者地址 `CrossCurve bridge breach` 流出。
- **流出**: 3,000,000 USD/SOL 转移至 `Merged attack source`。
- **解释**: 此转移被描述为“报告的跨链消息欺骗/桥接漏洞”所导致的损失。

## 4. 嫌疑人资金流
根据提供的图谱和交易数据，资金从嫌疑人地址 `Merged attack source` 流出。
- **流出 1**: 0 SOL 转移至 `Axelar`。
- **流出 2**: 0 SOL 转移至 `Axelarscan`。
- **解释**: 这两笔金额为 0 的转移被解释为与 Axelar 跨链网络及其浏览器的上下文关联，可能指示了资金跨链转移的路径或意图。

## 5. 涉及钱包
| 钱包标识 | 角色 | 标签 | 风险评分 | 备注 |
| :--- | :--- | :--- | :--- | :--- |
| `victim-crosscurve-bridge-breach-2026-02` | 受害者 | CrossCurve bridge breach | 0.35 | 案例级协议或面向用户的受害者上下文。报告损失约 300 万美元。 |
| `case-crosscurve-bridge-breach-2026-02` | 嫌疑人 | Merged attack source | 0.78 | 案例级合并节点，来源于报告的可疑资金流。 |

## 6. 证据表
| 签名 | 来源 | 目标 | 金额 | 代币 | 解释 |
| :--- | :--- | :--- | :--- | :--- | :--- |
| `case:crosscurve-bridge-breach-2026-02` | `victim-crosscurve-bridge-breach-2026-02` | `case-crosscurve-bridge-breach-2026-02` | 3000000 | USD/SOL | 报告的跨链消息欺骗/桥接漏洞 |
| `case:crosscurve-bridge-breach-2026-02` | `case-crosscurve-bridge-breach-2026-02` | `entity-crosscurve-bridge-breach-2026-02-0-axelar` | 0 | SOL | 公共报告中提及的桥接网络上下文 |
| `case:crosscurve-bridge-breach-2026-02` | `case-crosscurve-bridge-breach-2026-02` | `entity-crosscurve-bridge-breach-2026-02-1-axelarscan` | 0 | SOL | 用于审查跨链消息的浏览器入口点 |

## 7. 模式匹配
系统在持久化记忆中匹配到以下模式，表明当前案例的特征与已知模式存在相似性：
1.  **Split-and-Scatter Exit** (相似度: 0.6, 置信度: 0.6)
    - **描述**: 来自案例 `cmomib51l000g7k9gdohmb9r2` 的保存记忆。
    - **证据**: 快速移动（0.0分钟内）、图中存在已知 Solana 程序交互、3,000,000 SOL/代币单位的大额单跳移动。
2.  **Protocol Exposure Cascade** (相似度: 0.84, 置信度: 0.84)
    - **描述**: Carrot Drift 风险暴露：Carrot 金库暴露 -> Drift 关联头寸 -> 恢复 IOU 快照 -> 用户提款截止日期路径。
    - **证据**: 快速移动（0.0分钟内）、图中存在已知 Solana 程序交互、3,000,000 SOL/代币单位的大额单跳移动。
3.  **Fast Fund -> Launch -> Drain** (相似度: 0.67, 置信度: 0.67)
    - **描述**: 钱包在可疑代币活动前收到资金，然后迅速耗尽或重新分配资金。
    - **证据**: 快速移动（0.0分钟内）、图中存在已知 Solana 程序交互。
4.  **Fast Fund -> Launch -> Drain** (相似度: 0.75, 置信度: 0.75)
    - **描述**: $HAWK 媒体报告的发行崩溃：发行/交易对活动 -> 集群式持有者退出 -> 池或 SOL 结算。
    - **证据**: 快速移动（0.0分钟内）、图中存在已知 Solana 程序交互、3,000,000 SOL/代币单位的大额单跳移动。
5.  **Fast Fund -> Launch -> Drain** (相似度: 0.75, 置信度: 0.75)
    - **描述**: $JENNER 名人代币报告的中间人纠纷：部署者或中间人钱包 -> 早期持有者集群 -> D

## 6. Evidence Table
| Signature | From | To | Amount | Token | Timestamp | Interpretation |
|---|---|---|---:|---|---|---|
| `case:cro...026-02` | `victim-c...026-02` | `case-cro...026-02` | 3000000.000000 | USD/SOL | unknown | reported cross-chain message spoofing / bridge exploit |
| `case:cro...026-02` | `case-cro...026-02` | `entity-c...axelar` | 0.000000 | SOL | unknown | Bridge network context named in public reports. |
| `case:cro...026-02` | `case-cro...026-02` | `entity-c...arscan` | 0.000000 | SOL | unknown | Explorer entry point for cross-chain message review. |