CrossCurve enfrentó una amenaza de litigio después del ataque a los servicios de explotación de su infraestructura de cadena cruzada

Проект CrossCurve, anteriormente conocido como EYWA, sufrió un grave incidente de seguridad cuando hackers desconocidos utilizaron servicios de hacking de contratos inteligentes para realizar un ataque dirigido al mecanismo de transferencia de tokens entre cadenas de bloques. Como resultado de la brecha, por un monto aproximado de tres millones de dólares, el equipo del proyecto anunció que iniciaría acciones legales contra los responsables y les dio un plazo de 72 horas para devolver los fondos.

Direcciones detectadas y respuesta inicial

El equipo de CrossCurve identificó rápidamente diez direcciones de Ethereum a las que se transfirieron los activos robados inmediatamente después del incidente. El director general Boris Povar explicó que se aprovechó una vulnerabilidad en el protocolo de transferencia para retirar de forma no autorizada fondos de los usuarios. En la fase inicial, la dirección del proyecto sugirió que los destinatarios podrían no ser conscientes de la naturaleza ilícita de los fondos recibidos. Sin embargo, este enfoque benevolente estuvo condicionado por el plazo de tres días para la devolución voluntaria de los activos y el contacto directo con las partes involucradas.

En caso de no llegar a un acuerdo, CrossCurve prometió escalar la situación hasta acciones penales, colaborar con exchanges de criptomonedas para congelar los activos comprometidos y coordinar esfuerzos internacionales con las autoridades y empresas de análisis de blockchain.

Magnitud de las pérdidas distribuidas en varias redes

La plataforma de análisis de seguridad blockchain Defimons, gestionada por Decurity, detectó que el daño financiero total asciende aproximadamente a tres millones de dólares, distribuidos en distintas redes de blockchain. Según estimaciones paralelas de BlockSec, líder en seguridad de sistemas distribuidos, las pérdidas alcanzaron unos 2,76 millones de dólares.

Un desglose detallado muestra que la red Ethereum sufrió pérdidas por 1,3 millones de dólares, mientras que Arbitrum enfrentó pérdidas cercanas a 1,28 millones. Además, se registraron daños en redes como Optimism, Base, Mantle, Kava, Frax, Celo y Blast, lo que evidencia la variedad de vectores de ataque utilizados. Hasta ahora, CrossCurve no ha publicado una evaluación oficial del monto total de activos afectados, y ha consultado a expertos a través del medio Decrypt para un análisis adicional.

Causas técnicas: verificación insuficiente y cadena de confianza

El equipo de BlockSec explicó el mecanismo de la brecha: el problema principal fue un sistema de verificación inadecuado de los mensajes entre cadenas, que se transmiten entre diferentes redes blockchain. Cuando un mensaje llega a la red destino, el sistema debe verificar su autenticidad, pero en este caso, el contrato aceptó datos falsificados como legítimos y ejecutó instrucciones de retiro de fondos.

Los analistas de BlockSec destacaron una vulnerabilidad crítica en la arquitectura de los puentes cross-chain: muchas de estas plataformas dependen de una única capa de verificación. Si esa capa se ve comprometida o se evade, toda la cadena de confianza se rompe. Dan Dadybayo, jefe del departamento de investigación y desarrollo estratégico en Unstoppable Wallet, explicó en una entrevista con Decrypt que el problema no residía en el protocolo principal Axelar, sino en un contrato personalizado llamado ReceiverAxelar, desarrollado por CrossCurve para gestionar los mensajes entre cadenas sin un nivel adecuado de autenticación.

Paralelos históricos y lecciones sistémicas

La historia ha registrado incidentes similares. El hackeo del puente Nomad en 2022 evidenció vulnerabilidades similares en la lógica de verificación. Dadybayo señaló que el principal desafío de seguridad en los sistemas cross-chain no radica en la capa de transporte de mensajes en sí, sino en garantizar una autenticación completa antes de ejecutar cualquier acción. Los receptores personalizados de mensajes suelen ser el eslabón más débil en la cadena de protección.

Mientras los puentes cross-chain concentran volúmenes significativos de liquidez y cada proyecto desarrolla su propia lógica de verificación, estos sistemas siguen siendo objetivos prioritarios para ataques y hackeos en el ecosistema DeFi. El incidente de CrossCurve es un recordatorio de que las arquitecturas complejas de soluciones cross-chain requieren no solo conocimientos técnicos, sino también una reevaluación radical de los modelos de seguridad.