El ataque de puente cross-chain de 3 millones de dólares de CrossCurve: cómo evadir la verificación de seguridad mediante información falsa

El domingo, el proyecto DeFi CrossCurve (anteriormente EYWA) sufrió un grave incidente de seguridad. La plataforma detectó que existía una vulnerabilidad grave en su mecanismo de transferencia de activos entre cadenas, lo que permitió la apropiación ilícita de aproximadamente $3 millones en fondos. Según análisis de empresas de seguridad como BlockSec, este evento volvió a poner de manifiesto los riesgos sistémicos en la seguridad de los puentes entre cadenas.

El equipo de CrossCurve bloqueó posteriormente diez direcciones de carteras en Ethereum que recibieron los fondos robados. En un comunicado, el CEO de CrossCurve, Борис Повар, afirmó que las evidencias preliminares no indican que los destinatarios hayan participado intencionalmente en actividades maliciosas, pero el equipo dio un plazo de 72 horas. Si los fondos no son devueltos o los destinatarios no contactan, CrossCurve elevará su respuesta, incluyendo denunciar a las autoridades, congelar activos en exchanges, divulgar públicamente la información de las carteras y colaborar con empresas de análisis en cadena para rastrear el flujo de fondos.

Análisis de la técnica del ataque: ¿Cómo engañar a los mecanismos de verificación con mensajes falsificados entre cadenas?

El núcleo técnico del ataque radica en evadir los procesos de verificación. Los atacantes lograron enviar mensajes falsos de comunicación entre cadenas a los contratos inteligentes de CrossCurve. Estas instrucciones fraudulentas deberían haber sido identificadas y rechazadas por el sistema, pero debido a una lógica de validación deficiente, el contrato interpretó los datos engañosos como instrucciones legítimas, ejecutando así extracciones no autorizadas de fondos.

BlockSec señala en su informe que la raíz del problema fue una “falta grave en los mecanismos de verificación”. Los mensajes entre cadenas deben pasar por una autenticación de identidad antes de ser ejecutados, pero en la arquitectura de CrossCurve, estas verificaciones esenciales no se implementaron correctamente, lo que permitió que el contrato aceptara datos falsificados sin confirmar su autenticidad.

Pérdidas en múltiples cadenas y distribución de fondos

Sobre la magnitud de las pérdidas, las evaluaciones varían. Defimons (una cuenta de monitoreo de seguridad operada por el equipo de Decurity) estima una pérdida total de $3 millones en varias redes blockchain. Por su parte, BlockSec proporciona una distribución más detallada: aproximadamente $1.3 millones en Ethereum, $1.28 millones en Arbitrum, y unos $180,000 dispersos en cadenas emergentes como Optimism, Base, Mantle, Kava, Frax, Celo y Blast.

La plataforma oficial de CrossCurve aún no ha confirmado el monto total de las pérdidas ni ha respondido a las estimaciones de las empresas de seguridad. Esta discrepancia refleja que, en el ecosistema de cadenas cruzadas, aún es un desafío preciso cuantificar las pérdidas.

Vulnerabilidad fundamental: un único punto de verificación como debilidad fatal

Дан Дадыбаё, responsable de investigación y estrategia de Unstoppable Wallet, ofrece una interpretación técnica más profunda del incidente. Señala que el protocolo Axelar de comunicación entre cadenas utilizado por CrossCurve no presenta problemas en sí mismo, sino que la vulnerabilidad radica en el contrato ReceiverAxelar, desarrollado de forma propia por CrossCurve. Este contrato personalizado para recibir mensajes no implementó mecanismos de autenticación de identidad adecuados.

Дадыбаё enfatiza que el principal desafío en la seguridad de los puentes entre cadenas no reside en la capa de transmisión de mensajes, sino en garantizar que ningún camino de ejecución pueda saltarse la verificación de identidad. Si existe alguna ruta alternativa que permita evadir esta protección, toda la confianza en el sistema colapsará.

Como ejemplo, cita el ataque al puente Nomad en 2022: en ese incidente, los atacantes también aprovecharon fallas en la verificación, causando pérdidas cercanas a $190 millones. Esto demuestra que técnicas similares ya han sido utilizadas en la industria, y que algunos proyectos siguen cometiendo los mismos errores al diseñar sus contratos.

Problemas en la seguridad de las cadenas cruzadas y lecciones para la protección

La comunidad coincide en que el problema fundamental de los puentes entre cadenas actuales radica en su estructura de liquidez centralizada y en la lógica de verificación fragmentada de los proyectos. Mientras el proceso de validación centralizado sea la única fuente de confianza, cualquier fallo en ese proceso puede hacer que todo el sistema sea vulnerable.

Para los usuarios, se recomiendan las siguientes medidas de protección:

• Ser cautelosos con las operaciones en puentes entre cadenas, especialmente en los nuevos o con menor reconocimiento.
• Revisar los informes de auditoría de seguridad del proyecto antes de usarlo, priorizando aquellos auditados por firmas reconocidas.
• Diversificar riesgos, evitando transferir grandes cantidades de fondos en una sola operación de puente.
• Seguir las alertas y monitoreos en plataformas de seguridad en tiempo real.

El incidente de CrossCurve vuelve a demostrar que, incluso en un ecosistema DeFi aparentemente maduro, todavía existen brechas de seguridad explotables. El auge de la tecnología de cadenas cruzadas impulsa la interoperabilidad multichain, pero también crea nuevas oportunidades para los atacantes. Solo mediante estándares de diseño más estrictos, auditorías de seguridad exhaustivas y una mayor transparencia en la divulgación de riesgos, se podrá reducir progresivamente los peligros en el ecosistema de cadenas cruzadas.