CrossCurve Amenaza con Acciones Legales tras Explotación de $3 Millones en su Puente Cross-Chain

El protocolo de finanzas descentralizadas CrossCurve, antes conocido como EYWA, afirma haber identificado públicamente diez direcciones de Ethereum vinculadas a un hackeo de su sistema de transferencia de tokens el domingo.

El domingo por la tarde, CrossCurve reveló que un atacante explotó una falla "que involucra la explotación de una vulnerabilidad en uno de los contratos inteligentes" utilizado para su puente cross-chain, un sistema que permite a los usuarios mover tokens entre diferentes blockchains.

Horas después, el CEO de CrossCurve, Boris Povar, señaló que el equipo había identificado diez direcciones de Ethereum que recibieron los fondos en cuestión.

"Estos tokens fueron tomados indebidamente de los usuarios debido a un exploit de contrato inteligente", afirmó Povar. "No creemos que esto haya sido intencionado de su parte, y no hay indicios de intención maliciosa".

Povar advirtió que si los fondos no son devueltos o no se establece contacto dentro de 72 horas, su equipo "asumirá intención maliciosa y tratará el asunto como un problema judicial".

No devolver los fondos desencadenaría una escalada inmediata, incluyendo denuncias penales, litigios civiles, coordinación con exchanges y emisores para congelar activos, divulgación pública de datos de billeteras y transacciones, y cooperación con fuerzas del orden y empresas de análisis blockchain, agregó Povar.

Un contrato inteligente es un programa que se ejecuta en una blockchain y ejecuta automáticamente transacciones según reglas predefinidas.

Defimon Alerts, una cuenta social gestionada por la firma de seguridad blockchain Decurity, proporcionó una estimación inicial de que el exploit resultó en pérdidas de alrededor de $3 millones en "varias redes", añadiendo que la falla permitió a un atacante enviar un mensaje cross-chain falso en el contrato inteligente de CrossCurve que evadió las verificaciones y provocó que el puente liberara fondos.

Mientras tanto, la firma de seguridad blockchain BlockSec estimó las pérdidas totales en aproximadamente $2,76 millones, incluyendo cerca de $1,3 millones en Ethereum y alrededor de $1,28 millones en Arbitrum, así como en varias cadenas, como Optimism, Base, Mantle, Kava, Frax, Celo y Blast.

CrossCurve no ha confirmado públicamente la estimación de pérdidas citada por las firmas de seguridad, y no ha compartido su propia cifra sobre los fondos afectados. Decrypt se ha puesto en contacto con CrossCurve para solicitar comentarios.

El exploit se originó por una "falta de validación", según señaló el equipo de BlockSec a Decrypt.

"Los mensajes cross-chain que debieron haber sido validados no fueron verificados, lo que provocó que el contrato de la cadena de destino creyera que el mensaje reflejaba una transacción genuina iniciada en la cadena de origen y liberara los activos correspondientes basándose en datos de carga útil falsificados por el atacante", explicó BlockSec.

El incidente muestra que "la seguridad cross-chain todavía depende demasiado de una única vía de validación", agregó BlockSec. "Si alguna ruta de ejecución alternativa evade esa verificación, todo el modelo de confianza colapsa".

"Este exploit no fue un fallo del protocolo central de Axelar; fue un fallo del lado receptor", señaló Dan Dadybayo, líder de investigación y estrategia en Unstoppable Wallet, a Decrypt. "El contrato ReceiverAxelar personalizado de CrossCurve ejecutó mensajes cross-chain sin autenticarlos suficientemente primero".

Dadybayo afirmó que este patrón ya se ha visto antes en casos como el hackeo de Nomad en 2022.

"La parte difícil de la seguridad de los puentes no es la capa de mensajería, sino asegurarse de que nada suceda hasta que la autenticidad esté completamente probada", añadió. "Los receptores personalizados siguen siendo el eslabón más débil. Mientras los puentes concentren liquidez y dependan de lógica de validación personalizada, continuarán siendo la superficie de mayor riesgo en DeFi".