El puente de liquidez cross-chain de CrossCurve fue atacado debido a una vulnerabilidad en uno de sus smart contracts, permitiendo retiradas no autorizadas de tokens por un valor aproximado de $3 millones, y obligando a pausar las operaciones mientras se investiga el incidente.
El protocolo descentralizado CrossCurve, anteriormente conocido como Eywa, confirmó que su puente de liquidez cross-chain ha sido explotado por un fallo de seguridad en sus contratos inteligentes, lo que resultó en un robo de alrededor de $3 millones en varios networks conectados a su infraestructura. La plataforma advirtió a los usuarios a suspender todas las interacciones con el servicio mientras se lleva a cabo una investigación completa.
Según los informes, el atacante aprovechó una vulnerabilidad en el contrato ReceiverAxelar, que carecía de las validaciones adecuadas sobre mensajes entre cadenas. Esto permitió a los atacantes enviar mensajes falsificados (spoofed) que el sistema interpretó como legítimos, desencadenando retiradas no autorizadas de tokens desde el contrato PortalV2 sin verificación apropiada. Datos on-chain muestran cómo el balance del contrato cayó desde aproximadamente US$ 3 millones a casi cero en cuestión de horas.
El equipo de CrossCurve publicó un aviso urgente en X, describiendo la situación y solicitando a los usuarios colaborar en la devolución de fondos que recibieron “equivocadamente” a causa de la vulnerabilidad. La plataforma identificó diez direcciones de Ethereum que recibieron tokens mal liberados y expresó que, aunque no hay indicios claros de intención maliciosa en algunos casos, espera la cooperación para regresar los activos.
Fallo en la validación de mensajes entre cadenas expone riesgos en infraestructura cross-chain
Como parte de su política de divulgación responsable (Safe Harbor Responsible Disclosure Policy), CrossCurve ofrece una recompensa de hasta el 10% del monto recuperado para hackers white hat que colaboren en devolver los fondos dentro de un plazo de 72 horas. Si no se logra una comunicación efectiva o devolución, el proyecto advirtió que tomaría medidas adicionales.
Esto incluye procedimientos civiles y penales, la colaboración con exchanges como Coinbase y Binance, emisores de stablecoins y firmas de análisis on-chain como Chainalysis, TRM Labs y Elliptic para rastrear y congelar los fondos relacionados con el exploit.
El incidente pone de manifiesto los riesgos persistentes asociados con los puentes cross-chain, cuya complejidad y dependencias múltiples pueden abrir puertas a fallos técnicos graves, a pesar de que estos sistemas suelen promocionarse como altamente seguros mediante mecanismos de consenso de varias capas.
CrossCurve, respaldado por el fundador de Curve Finance, Michael Egorov, y que recaudó alrededor de $7 millones de capital de riesgo en 2023, ahora enfrenta el desafío de restaurar la confianza de los usuarios y fortalecer sus medidas de seguridad en medio de una ola continua de exploits similares que han afectado a la industria DeFi.
