CrossCurve Amenaza con Acciones Legales Tras Explotación de $3M en Puente Cross-Chain

El protocolo de finanzas descentralizadas CrossCurve, anteriormente conocido como EYWA, ha anunciado públicamente la identificación de diez direcciones de Ethereum relacionadas con un hackeo en su sistema de transferencia de tokens ocurrido el domingo.

CrossCurve reveló el domingo por la tarde que un atacante aprovechó una vulnerabilidad “que afecta uno de los contratos inteligentes” de su puente cross-chain, un sistema que permite a los usuarios mover tokens entre diferentes blockchains.

Pocas horas después, el CEO de CrossCurve, Boris Povar, declaró que el equipo había identificado diez direcciones de Ethereum que recibieron los fondos en cuestión.

“Estos tokens fueron sustraídos de manera indebida a los usuarios debido a una explotación del contrato inteligente”, expresó Povar. “No creemos que haya habido intención maliciosa de su parte, y no hay indicios de tal intención.”

Povar advirtió que si los fondos no son devueltos o no se establece contacto en un plazo de 72 horas, su equipo “asumirá una intención maliciosa y tratará el asunto como un problema judicial.”

Si no se devuelven los fondos, se procederá con una escalada inmediata que incluirá referencias penales, litigios civiles, coordinación con intercambios y emisores para congelar activos, divulgación pública de datos de billeteras y transacciones, así como la cooperación con las autoridades y empresas de análisis de blockchain, agregó Povar.

Un contrato inteligente es un programa que opera en una blockchain y ejecuta automáticamente transacciones de acuerdo a reglas predefinidas.

Defimon Alerts, una cuenta social gestionada por la firma de seguridad blockchain Decurity, proporcionó una estimación inicial que indicaba que la explotación resultó en pérdidas de alrededor de $3 millones a través de “varias redes”, agregando que la vulnerabilidad permitió a un atacante enviar un mensaje de cross-chain falso en el contrato inteligente de CrossCurve que eludió controles y provocó que el puente liberara fondos.

Por su parte, la firma de seguridad blockchain BlockSec estimó que las pérdidas totales ascienden a alrededor de $2.76 millones, incluyendo aproximadamente $1.3 millones en Ethereum y cerca de $1.28 millones en Arbitrum, además de varias cadenas, incluyendo Optimism, Base, Mantle, Kava, Frax, Celo y Blast.

CrossCurve no ha confirmado públicamente la estimación de pérdidas mencionada por las firmas de seguridad, y aún no ha compartido su propia cifra sobre los fondos afectados. Decrypt se ha puesto en contacto con CrossCurve para obtener comentarios.

La explotación se originó por una “falta de validación,” indicó el equipo de BlockSec a Decrypt.

“Los mensajes cross-chain que deberían haber sido validados no fueron verificados, lo que provocó que el contrato de la cadena de destino creyera que el mensaje reflejaba una transacción genuina iniciada en la cadena de origen y liberara los activos correspondientes basados en datos de carga forjada por el atacante,” explicó BlockSec.

Este incidente pone de manifiesto que “la seguridad cross-chain aún depende demasiado de una única vía de validación,” agregó BlockSec. “Si cualquier ruta de ejecución alternativa elude esa verificación, todo el modelo de confianza se derrumba.”

“Esta explotación no fue un fallo del protocolo central de Axelar; fue un fallo del lado del receptor,” comentó Dan Dadybayo, líder de investigación y estrategia en Unstoppable Wallet, a Decrypt. “El contrato ReceiverAxelar personalizado de CrossCurve ejecutó mensajes cross-chain sin autenticar adecuadamente primero.”

Dadybayo señaló que este patrón ya se ha visto en casos como el hackeo de Nomad en 2022.

“La parte más difícil de la seguridad de los puentes no es la capa de mensajería, sino asegurarse de que no ocurra nada hasta que la autenticidad se haya probado completamente,” añadió. “Los receptores personalizados siguen siendo el eslabón más débil. Mientras los puentes concentren liquidez y confíen en lógica de validación específica, seguirán siendo la superficie de mayor riesgo en DeFi.”