CrossCurve, un protocolo de liquidez cross-chain, confirmó un ataque el domingo, con una vulnerabilidad de verificación de contratos inteligentes que resultó en una pérdida de aproximadamente 3.000.000 de dólares en múltiples cadenas. El atacante eludió la verificación de contratos de ReceiverAxelar falsificando mensajes, similar al hackeo de Nomad en 2022. El proyecto fue previamente invertido por el fundador de Curve Finance y recaudó 7.000.000 de dólares.
CrossCurve confirmó urgentemente que la red de puentes fue atacada
CrossCurve emitió un anuncio urgente en la plataforma X: “Nuestra red de puente está actualmente bajo ataque, y un atacante ha explotado una vulnerabilidad en un contrato inteligente. Pausa todas las interacciones con CrossCurve mientras la investigación continúa.” Este breve comunicado confirmó las preocupaciones de la comunidad, pero no proporcionó datos oficiales sobre los detalles del ataque ni la magnitud de los daños.
Según datos de seguimiento de Arkham Intelligence, el saldo del contrato PortalV2 de CrossCurve cayó bruscamente, pasando de aproximadamente 3.000.000 de dólares a casi cero alrededor del 31 de enero. Este completo agotamiento de fondos indica que el atacante ha conseguido eludir todos los mecanismos de seguridad y ha transferido casi todos los activos del contrato. Más preocupante aún, el impacto de la vulnerabilidad no se limita a una sola blockchain, sino que abarca múltiples redes soportadas por CrossCurve, lo que indica un fallo sistémico de seguridad.
Posicionado como un intercambio descentralizado (DEX) y protocolo de puente de consenso entre cadenas, CrossCurve está desarrollado por el equipo de CrossCurve en colaboración con Curve Finance. La plataforma utiliza un llamado mecanismo de “puente de consenso” para enrutar transacciones a través de múltiples protocolos de verificación independientes como Axelar, LayerZero y su propia red oráculo EYWA, con el objetivo de reducir el riesgo de puntos únicos de fallo. Sin embargo, este ataque demostró que, incluso con una arquitectura de autenticación multifactor, mientras un solo contrato tenga una vulnerabilidad fatal, todo el sistema puede colapsar.
El proyecto ha enfatizado previamente su arquitectura de seguridad como un factor diferenciador clave en el documento, señalando que “la probabilidad de que múltiples protocolos cross-chain sean hackeados al mismo tiempo es casi nula.” Irónicamente, este ataque no se dirigió a múltiples protocolos cruzados en cadena, sino que eludió directamente la lógica de verificación propia de CrossCurve, haciendo ineficaz la arquitectura de autenticación multifactor.
La autenticación de la pasarela evita la resolución total de la ruta de explotación
Defimon Alerts, una agencia de seguridad blockchain, publicó rápidamente un informe de análisis técnico que reveló el modus operandi específico de los atacantes. La vulnerabilidad principal radica en el contrato ReceiverAxelar de CrossCurve, que es responsable de recibir mensajes de la red cross-chain de Axelar. En circunstancias normales, estos mensajes deberían someterse a una verificación estricta de la pasarela para asegurar que solo se puedan ejecutar mensajes legítimos que superen el consenso de la red Axelar.
Sin embargo, el análisis reveló un fallo fatal en la función expressExecute en el contrato ReceiverAxelar. Cualquiera puede llamar directamente a la función y pasar los parámetros falsos del mensaje cruzado sin una verificación suficiente de la fuente del mensaje. Esta ausencia permite a los atacantes saltarse el proceso de autenticación previsto de la pasarela Axelar e inyectar instrucciones maliciosas directamente en el contrato.
Una vez que el mensaje falsificado es aceptado por la función expressExecut, se activa la lógica de desbloqueo de tokens en el contrato PortalV2 del protocolo. PortalV2 es el contrato principal de custodia de activos de CrossCurve, responsable de bloquear y liberar tokens puentes entre cadenas. Dado que el contrato confía en las instrucciones de ReceiverAxelar, cuando el mensaje falsificado indica “el usuario tiene tokens bloqueados en la cadena de origen, por favor libéralos en la cadena objetivo”, PortalV2 se ejecutará incondicionalmente, transfiriendo tokens que no deberían haberse liberado al atacante.
El proceso de ataque puede simplificarse en los siguientes pasos
· El atacante construye un mensaje cross-chain falsificado afirmando haber depositado una gran cantidad de activos en la cadena de origen
· Llama directamente a la función expressExecute del contrato ReceiverAxelar para que pase un mensaje falsificado
· Debido a la falta de verificaciones, el contrato acepta el mensaje falsificado y activa el desbloqueo de PortalV2
· PortalV2 transfiere tokens a la dirección especificada por el atacante para completar el robo
Lo aterrador de este método de ataque es su repetibilidad. Una vez detectada la vulnerabilidad, el atacante puede llamar repetidamente a la función expressExecut, falsificando diferentes mensajes cada vez para extraer distintos tokens hasta que el contrato PortalV2 se agote por completo. A juzgar por los datos de Arkham Intelligence, los atacantes realizaron múltiples transacciones, vaciando sistemáticamente todos los activos principales del contrato.
Una repetición de la tragedia de los nómadas: cuatro años después, la laguna sigue ahí
Este ataque CrossCurve recordó a los expertos en seguridad criptográfica la vulnerabilidad del puente Nomad en agosto de 2022. En ese momento, Nomad perdió 190.000.000 de dólares debido a un problema similar de evasión de verificación, y aún más sorprendente, más de 300 direcciones de monedero participaron en este “robo colectivo” porque la vulnerabilidad era tan simple que cualquiera podía robar fondos simplemente copiando la transacción del ataque y modificando la dirección receptora.
El experto en seguridad Taylor Monahan quedó impactado por esto en una entrevista con The Block: “No puedo creer que cuatro años después, nada haya cambiado.” Su lamento apunta a una realidad frustrante en la industria cripto, donde los mismos tipos de errores se repiten a pesar de los miles de millones de dólares perdidos cada año debido a vulnerabilidades en contratos inteligentes.
Las vulnerabilidades de Nomad y CrossCurve son muy similares en naturaleza, derivadas de una verificación insuficiente de las fuentes de mensajes entre cadenas. En sistemas distribuidos, verificar “quién envió este mensaje” es el requisito de seguridad más básico, pero ambos proyectos han cometido negligencia fatal en este enlace. La vulnerabilidad de Nomad es inicializar la raíz de Merkle a un valor cero, permitiendo que cualquier mensaje pase validación; CrossCurve se salta directamente el paso de verificación del gateway.
Más preocupante aún, CrossCurve ha destacado públicamente los beneficios de seguridad de su arquitectura de autenticación multifactor. El proyecto integra mecanismos de verificación triple Axelar, LayerZero y EYWA, que teóricamente deberían ser más seguros que un solo esquema de verificación. Sin embargo, este ataque demuestra que cuando existen vulnerabilidades a nivel de implementación, por muy complejo que sea el diseño arquitectónico, no puede proporcionar protección. La clave de la seguridad no es cuántas capas de verificación hay, sino si cada capa está implementada correctamente.
En los cuatro años transcurridos desde Nomad hasta CrossCurve, la industria cripto ha experimentado múltiples ataques de puente, incluyendo el robo de 625.000.000 de dólares de Ronin, la pérdida de 325.000.000 de dólares de Wormhole, y más. La lección común de estos incidentes es que los puentes cross-chain son el eslabón más vulnerable en el ecosistema blockchain porque deben coordinarse entre diferentes modelos de seguridad, y un fallo de cualquier enlace puede tener consecuencias catastróficas.
La avalación de Curve Finance y la crisis de confianza de los inversores
El mayor respaldo previo de CrossCurve vino del fundador de Curve Finance, Michael Egorov. En septiembre de 2023, Egorov se convirtió en inversor en el protocolo, lo que fue un gran punto positivo para el Protocolo EYWA, que en ese momento acababa de ser renombrado. Curve Finance, uno de los protocolos de trading de stablecoin más exitosos en el espacio DeFi, ha visto cómo sus fundadores han dado a CrossCurve un gran impulso de credibilidad.
Posteriormente, CrossCurve anunció que había recaudado 7.000.000 de dólares de instituciones de capital riesgo. Aunque el proyecto no reveló la lista de todos los inversores, la participación de Egorov sin duda ha atraído a otras instituciones a seguir su ejemplo. Esta financiación se suponía que debía utilizarse para el desarrollo de protocolos, auditorías de seguridad y expansión del ecosistema, sin embargo, esta pérdida de 3.000.000 de dólares representó casi el 43% de su financiación, suponiendo un duro golpe para la salud financiera del proyecto.
Tras el incidente, Curve Finance emitió rápidamente un comunicado sobre la plataforma X, trazando una línea clara con CrossCurve: “Los usuarios que hayan asignado votos a pools relacionados con Eywa podrían necesitar revisar sus posiciones y considerar revocar esos votos. Seguimos animando a todos los participantes a estar atentos y a tomar decisiones conscientes del riesgo al interactuar con proyectos de terceros.”
La redacción de esta afirmación es juguetona. En lugar de condenar directamente el ataque o expresar apoyo a CrossCurve, Curve Finance recordó a los usuarios que “revisen sus posiciones” y “deshagan sus votos”, sugiriendo que el equipo de Curve ha perdido la confianza en la seguridad de CrossCurve. El término “proyecto de terceros” delimita claramente los límites de responsabilidad para evitar daños colaterales a la propia reputación de Curve.
Para los inversores y usuarios de CrossCurve, este incidente es una lección dolorosa. Incluso si hay respaldo de un fundador conocido, financiación multimillonaria y afirmaciones de adoptar una arquitectura multi-seguridad, la seguridad del proyecto no puede garantizarse. En el mundo cripto, el código es ley, y ninguna publicidad ni promesa pueden compararse con la seguridad de contratos inteligentes probada.
