«Devuelvan el dinero o iremos a la policía»: CrossCurve dio a los extorsionadores exactamente 72 horas para devolver las criptomonedas
Parece que los creadores de EYWA han vuelto a cometer el mismo error.
El protocolo financiero descentralizado CrossCurve, anteriormente conocido como EYWA, informó sobre una vulnerabilidad grave en el contrato inteligente encargado de las transferencias entre cadenas. Como resultado del ataque, un atacante logró transferir fondos de usuarios a varias direcciones externas.
El incidente ocurrió el domingo. Según el equipo del proyecto, el exploit estaba relacionado con un error en la lógica del contrato inteligente que permitió eludir el mecanismo de verificación de mensajes entre blockchains. Varias horas después de detectar el ataque, el director general de CrossCurve, Boris Povar, precisó que se identificaron diez direcciones de Ethereum a las que se habían retirado activos.
Según Povar, los fondos fueron extraídos no por culpa de los usuarios, sino debido a la vulnerabilidad, y el equipo no tiene motivos para creer que las acciones de los titulares de las direcciones identificadas fueran inicialmente maliciosas. No obstante, subrayó que si no hay comunicación ni devolución de los fondos en el plazo de 72 horas, el equipo considerará la situación como intencional y llevará el caso al ámbito legal.
Entre las posibles medidas figuran acudir a las fuerzas de seguridad, presentar demandas civiles, colaborar con plataformas de intercambio de criptomonedas para congelar activos, publicar información sobre las carteras y transacciones, y cooperar con empresas de análisis de blockchain.
Las estimaciones de daños aún varían. Según el proyecto Defimon Alerts, vinculado a la empresa Decurity, las pérdidas ascienden a alrededor de $3 millones. Se señala que el atacante aprovechó una vulnerabilidad en la lógica del puente y envió un mensaje falso que fue aceptado como auténtico, lo que provocó el desbloqueo de activos.
La empresa BlockSec estimó pérdidas totales de $2,76 millones. De esa cantidad, $1,3 millones corresponden a la red Ethereum y $1,28 millones a Arbitrum. Además, se vieron afectadas otras blockchains, entre ellas Optimism, Base, Mantle, Kava, Frax, Celo y Blast. Según los especialistas, la raíz del problema fue la falta de verificación adecuada de los mensajes, lo que permitió procesar transacciones falsificadas.
Los analistas enfatizan que la seguridad de las conexiones entre cadenas sigue dependiendo de un único canal de verificación. Si ese canal se elude, todo el modelo de confianza se derrumba. El problema no surgió en el protocolo principal de Axelar, sino en el lado receptor de los mensajes, donde CrossCurve utilizó una implementación propia sin la verificación suficiente de la autenticidad de los datos.
Un enfoque similar ya fue causa de ataques —en particular, en el hackeo del protocolo Nomad en 2022. Los analistas recuerdan que la mayor amenaza para los puentes son los componentes personalizados y la falta de verificación rigurosa de la autenticidad, especialmente cuando hay una alta concentración de liquidez.