Hacks con Contratos Inteligentes: El exploit del puente CrossCurve despoja a los usuarios de 3 millones de dólares en liquidez.

Una vulnerabilidad en el contrato inteligente de CrossCurve permitió a los atacantes evitar la validación de los mensajes y, así, desbloquear fondos en múltiples redes.Según los informes….
El ataque aprovechó una vulnerabilidad en el contrato ReceiverAxelar, lo que permitió que los mensajes intercadenales falsificados activaran operaciones de retiro de tokens no autorizadas.En detalle….
La brecha en la seguridad causó una pérdida total estimada en 3 millones de dólares. Además, se produjo una disminución en la liquidez en las cadenas Ethereum, Arbitrum y otras cadenas relacionadas.De acuerdo con los análisis realizados….

CrossCurve, un protocolo de liquidez entre cadenas, anunció el 31 de enero que su infraestructura de puente había sido explotada, lo que causó una pérdida de 3 millones de dólares. El ataque aprovechó una vulnerabilidad en un contrato inteligente, lo que permitió que los mensajes cruzados pudieran ignorar las autenticaciones y desbloquear los tokens desde el contrato PortalV2.Según los informes…La brecha fue detectada mediante el análisis de la cadena de bloques. Desde ese momento, el equipo del protocolo tomó medidas inmediatas al respecto.

La vulnerabilidad se originó en la función expressExecute del contrato ReceiverAxelar. Esta función no logró verificar la legitimidad de los mensajes que se transmitían entre las diferentes cadenas. Esto permitió a los atacantes simular comunicaciones válidas entre las cadenas, y así retirar fondos sin necesidad de depositar los activos correspondientes en la cadena de origen.De acuerdo con el análisis técnico.El impacto fue rápido: el saldo del contrato PortalV2 descendió de aproximadamente 3 millones de dólares a casi cero.Como se informó..

CrossCurve ha identificado diez direcciones de wallets de Ethereum que están involucradas en este ataque. Además, ha ofrecido una recompensa de 72 horas para quienes puedan recuperar los fondos. El protocolo también advierte sobre posibles acciones legales o penales en caso de que los fondos no sean recuperados.De acuerdo con las declaraciones…Este incidente presenta similitudes sorprendentes con el ataque contra el puente Nomad en 2022. En ese caso, una falla similar en la validación de los mensajes causó una pérdida de 190 millones de dólares.Como está documentado..

¿Qué vulnerabilidad causó la pérdida de 3 millones de dólares?

La vulnerabilidad en el contrato ReceiverAxelar de CrossCurve permitió a los atacantes evitar la validación de los mensajes, al simular una comunicación válida entre cadenas. Esta falla les permitió desbloquear tokens desde el contrato PortalV2, sin necesidad de realizar ninguna verificación adecuada.Según los informes….

El problema radicaba en la falta de controles de validación adecuados en la función expressExecute. Esto permitió a los atacantes explotar el contrato, al falsificar los mensajes y activar la retirada de tokens en múltiples cadenas.

¿Qué medidas ha adoptado CrossCurve en respuesta a este ataque?

CrossCurve ha suspendido todas las interacciones con la plataforma y insta a los usuarios a detener cualquier actividad relacionada con este protocolo hasta que se resuelva el problema. Además, el protocolo ha identificado diez direcciones de Ethereum vinculadas a esta vulnerabilidad y ha ofrecido una recompensa de 72 horas para quienes devuelvan los fondos.

Además del programa de recompensas, CrossCurve ha advertido sobre posibles acciones legales en caso de que los fondos no sean recuperados. El protocolo colabora con empresas de análisis de cadenas de bloques y bolsas para rastrear el flujo de activos y recuperar la liquidez robada.

¿Qué implicaciones más amplias tiene esto para los sistemas entre cadenas?

Esta vulneración destaca los riesgos que existen en la infraestructura de intercadenas, especialmente en lo que respecta a los contratos de receptores personalizados. Estos contratos requieren mecanismos de validación sólidos para evitar el liberamiento no autorizado de fondos.

Este incidente es similar al que ocurrió en el Nomad Bridge en el año 2022. En ese caso, un error similar en la validación de los mensajes causó una pérdida de 190 millones de dólares. Esto refuerza la necesidad de contar con plantillas de contratos inteligentes seguras, auditorías adecuadas y ciclos de desarrollo de software seguros, para evitar este tipo de incidentes.

Los expertos en seguridad han destacado la importancia de utilizar sistemas de validación de múltiples capas en los sistemas intercadenales, con el objetivo de reducir las posibilidades de que ocurran puntos de falla individuales. La arquitectura propia de CrossCurve, que incluye integraciones con redes como Axelar y LayerZero, fue presentada como una medida de protección contra tales vulnerabilidades.

Este incumplimiento destaca la importancia de una monitorización constante y una respuesta rápida en caso de un incidente de seguridad. La interrupción inmediata del protocolo por parte de CrossCurve, junto con su colaboración con empresas especializadas en análisis de cadenas de bloques, demuestra un intento por contener los daños causados.

Este incidente sirve como un recordatorio para los inversores y los desarrolladores de sistemas de intercambio de datos sobre los riesgos inherentes a los sistemas transchain. Aunque estos sistemas ofrecen escalabilidad e interoperabilidad, también plantean desafíos complejos en cuanto a la validación de los datos. Estos desafíos pueden ser aprovechados si no se gestionan adecuadamente.