CrossCurve amenaza con acciones legales tras la explotación del puente entre cadenas $3M .

En breve

• CrossCurve dijo el domingo que un atacante explotó una falla en sus contratos puente y identificó 10 direcciones de Ethereum que recibieron los fondos.
• Su CEO, Boris Povar, afirmó que su equipo emprendería acciones legales y de cumplimiento si los fondos no son devueltos en 72 horas.
• Las empresas de seguridad estiman pérdidas de aproximadamente 3 millones de dólares en varias cadenas de bloques, aunque CrossCurve aún no ha confirmado esa cifra.

El protocolo de finanzas descentralizadas CrossCurve, anteriormente conocido como EYWA, dice haber identificado públicamente diez direcciones de Ethereum vinculadas a un hackeo de su sistema de transferencia de tokens el domingo. CrossCurve reveló el domingo por la tarde que un atacante explotó una falla “que involucraba la explotación de una vulnerabilidad en uno de los contratos inteligentes” utilizados para su puente entre cadenas, un sistema que permite a los usuarios mover tokens entre diferentes blockchains. Horas después, el CEO de CrossCurve, Boris Povar, dijo que su equipo había identificado diez direcciones de Ethereum que recibieron los fondos en cuestión. “Estos tokens fueron indebidamente tomados de los usuarios debido a una explotación de contrato inteligente,” dijo Povar. “No creemos que esto haya sido intencional por su parte, y no hay indicios de intención maliciosa.”

 Povar advirtió que si los fondos no son devueltos o no se establece contacto en 72 horas, su equipo “asumirá intención maliciosa y tratará el asunto como un asunto judicial.” La falta de devolución de los fondos provocaría una escalada inmediata, incluyendo remisiones penales, litigios civiles, coordinación con exchanges y emisores para congelar activos, divulgación pública de datos de billeteras y transacciones, y cooperación con las fuerzas del orden y empresas de análisis de blockchain, agregó Povar. Un contrato inteligente es un programa que se ejecuta en una blockchain y realiza transacciones automáticamente según reglas predefinidas.

Defimon Alerts, una cuenta social gestionada por la firma de seguridad blockchain Decurity, proporcionó una estimación inicial de que la explotación resultó en pérdidas de alrededor de 3 millones de dólares en “varias redes,” añadiendo que la falla permitió a un atacante enviar un mensaje falso entre cadenas en el contrato inteligente de CrossCurve que eludió verificaciones y causó que el puente liberara fondos. Por su parte, la firma de seguridad blockchain BlockSec estimó pérdidas totales de aproximadamente 2,76 millones de dólares, incluyendo unos 1,3 millones en Ethereum y unos 1,28 millones en Arbitrum, así como varias cadenas, incluyendo Optimism, Base, Mantle, Kava, Frax, Celo y Blast. CrossCurve no ha confirmado públicamente la estimación de pérdidas citada por las firmas de seguridad, y no ha compartido su propia cifra para los fondos afectados. Decrypt se ha puesto en contacto con CrossCurve para comentar. La explotación se originó por una “falta de validación,” dijeron en Decrypt desde BlockSec. “Los mensajes entre cadenas que deberían haber sido validados no fueron verificados, causando que el contrato de la cadena de destino creyera que el mensaje reflejaba una transacción genuina iniciada en la cadena fuente y liberara los activos correspondientes basándose en datos de carga útil falsificados por el atacante,” explicó BlockSec. El incidente demuestra que “la seguridad entre cadenas todavía depende demasiado de un único camino de validación,” añadió BlockSec. “Si cualquier camino alternativo de ejecución elude esa verificación, todo el modelo de confianza colapsa.” “Este exploit no fue una falla del protocolo principal de Axelar; fue una falla del lado receptor,” dijo Dan Dadybayo, líder de investigación y estrategia en Unstoppable Wallet, a Decrypt. “El contrato ReceiverAxelar personalizado de CrossCurve ejecutó mensajes entre cadenas sin autenticarlo suficientemente primero.” Dadybayo afirmó que este patrón ya se ha visto antes en casos como el hackeo de Nomad en 2022.

“La parte difícil de la seguridad en los puentes no es la capa de mensajería, sino asegurarse de que no pase nada hasta que la autenticidad esté completamente comprobada,” añadió. “Los receptores personalizados siguen siendo el eslabón más débil. Mientras los puentes concentren liquidez y dependan de lógica de validación a medida, seguirán siendo la superficie de mayor riesgo en DeFi.”