CrossCurve advierte sobre una posible demanda tras el hackeo del puente cross-chain de $3 millones

CrossCurve identifica direcciones de Ethereum vinculadas al reciente exploit

CrossCurve, anteriormente conocido como EYWA, ha anunciado que ha rastreado diez direcciones de billeteras de Ethereum asociadas con una reciente brecha en su mecanismo de transferencia de tokens.

El domingo, el equipo de CrossCurve reveló que una vulnerabilidad en uno de sus contratos inteligentes, el cual facilita el movimiento de tokens entre blockchains, fue explotada por un atacante.

Más tarde ese mismo día, el CEO Boris Povar anunció que el equipo había identificado diez direcciones de Ethereum que recibieron los activos robados.

“Estos tokens fueron tomados de los usuarios como resultado de una vulnerabilidad en el contrato inteligente”, explicó Povar. “No creemos que esto haya sido hecho intencionalmente por los destinatarios, y no existe evidencia de intención maliciosa en este momento.”

Povar advirtió que, si los fondos no son devueltos o no se establece comunicación dentro de las próximas 72 horas, el equipo considerará el acto como malicioso y emprenderá acciones legales.

En caso de que los activos no sean recuperados, CrossCurve planea escalar la situación de inmediato. Esto incluye remitir el caso a las autoridades penales, iniciar procedimientos civiles, trabajar con exchanges y emisores de tokens para congelar los activos, compartir públicamente los detalles de las billeteras y transacciones, y colaborar con las fuerzas del orden y empresas de análisis blockchain.

Entendiendo los contratos inteligentes

Un contrato inteligente es un programa autoejecutable en una blockchain que lleva a cabo transacciones basadas en condiciones predeterminadas.

Estimaciones de pérdidas y detalles del exploit

Defimons, una cuenta social enfocada en la seguridad blockchain gestionada por Decurity, estimó que la brecha condujo a aproximadamente $3 millones en pérdidas a través de múltiples redes. El exploit permitió al atacante enviar un mensaje fraudulento entre cadenas al contrato inteligente de CrossCurve, eludiendo las comprobaciones de seguridad y desencadenando la liberación de fondos.

Mientras tanto, BlockSec, otra firma de seguridad blockchain, reportó pérdidas totales de aproximadamente $2,76 millones. Esto incluye alrededor de $1,3 millones en Ethereum y $1,28 millones en Arbitrum, con pérdidas adicionales repartidas en redes como Optimism, Base, Mantle, Kava, Frax, Celo y Blast.

CrossCurve aún no ha confirmado estas cifras ni ha proporcionado su propia evaluación de los fondos totales afectados.

Decrypt ha contactado a CrossCurve para obtener más comentarios.

Causa raíz y perspectivas de seguridad

BlockSec dijo a Decrypt que el exploit se debió a una validación insuficiente. “Los mensajes entre cadenas que requerían verificación no fueron debidamente comprobados, lo que llevó al contrato en la cadena de destino a aceptar datos falsificados como legítimos y liberar los activos en consecuencia”, explicó BlockSec.

BlockSec también señaló que el incidente resalta una debilidad significativa en la seguridad entre cadenas, que a menudo depende de un único proceso de validación. “Si cualquier ruta alternativa de ejecución puede eludir esta comprobación, todo el marco de confianza se ve comprometido”, añadieron.

Dan Dadybayo, líder de investigación y estrategia en Unstoppable Wallet, dijo a Decrypt que el problema no estaba en el protocolo central de Axelar, sino en el contrato personalizado ReceiverAxelar de CrossCurve, que procesó mensajes entre cadenas sin autenticación adecuada.

Dadybayo señaló que vulnerabilidades similares han sido explotadas antes, haciendo referencia al hackeo del puente Nomad en 2022.

Enfatizó: “El principal desafío en la seguridad de los puentes no es la capa de mensajería en sí, sino garantizar que no se tome ninguna acción hasta que la autenticidad esté completamente verificada. Los receptores personalizados suelen ser el punto más débil. Mientras los puentes centralicen la liquidez y dependan de lógica de validación personalizada, seguirán siendo un objetivo principal en DeFi.”