El protocolo criptográfico CrossCurve sufre una vulnerabilidad de $3 millones

El protocolo de cifrado CrossCurve ha revelado que su puente entre cadenas se vio comprometido, lo que resultó en una pérdida de aproximadamente 3 millones de dólares en varias redes blockchain. 

El ataque ha generado nuevas preocupaciones de seguridad sobre la infraestructura entre cadenas, que los hackers han atacado repetidamente en la industria de las criptomonedas. CrossCurve reveló el ataque el domingo por la noche en una publicación en Xinteligentestracse había explotado 

El protocolo advirtió a los usuarios que pausaran inmediatamente todas las interacciones con CrossCurve mientras el equipo investigaba el incidente. El exploit afectó a varias redes y demostró el impacto que las vulnerabilidades pueden tener en los sistemas cross-chain. Defimon Alerts, una cuenta X perteneciente a la empresa de seguridad blockchain Decurity, proporcionó detalles sobre el exploit. El atacante comprometió uno de lostracinteligentes de CrossCurve y robó aproximadamente 3 millones de dólares, según Defimon Alerts. 

El informe también indicó que eltracno verificaba adecuadamente los mensajes entre cadenas. Esto permitía a cualquier parte falsificarun mensaje que pareciera auténtico. De esta forma, el atacante podía eludir el mecanismo de validación tradicional y desbloquear tokens sin autorización. Más concretamente, DefiAlerts mencionó que cualquiera puede invocar una función llamada expressExecute en eltrac. 

Esta función explotó un mensaje falso entre cadenas y evadió las comprobaciones de la pasarela al llamarlo y desbloquear tokens en eltracPortalV2. Confió en dicho mensaje y los fondos se liberaron incluso después de que no se realizara ninguna transacción en la cadena original. CrossCurve no cuestionó nada de este trabajo y también está investigando lostracafectados. 

El protocolo aún no ha confirmado si todos los usuarios recibirán compensación por sus pérdidas. En una publicaciónen X, Curve recomendó a los usuarios cuyos derechos de voto fueron otorgados a los pools de CrossCurve que revisaran sus posiciones y consideraran retirar sus votos. También recomienda a todos los inversores que se mantengan alerta y tomen decisiones informadas sobre el riesgo al interactuar con proyectos de terceros.

CrossCurve ofrece una recompensa del 10% para recuperar tokens robados

Para intentar recuperar los fondos robados, el director ejecutivo de CrossCurve, Boris Povar, contactó públicamente con las direcciones sospechosas de recibir tokens mediante el exploit. Povar compartió 10 direcciones de blockchain asociadas con los activos robados y solicitó la devolución de los fondos, afirmó. 

Los tokens fueron "robados indebidamente a los usuarios debido a una vulnerabilidad detracinteligente", declaró Povar en su publicación. No había pruebas claras, afirmó, de que el ataque fuera intencional o malicioso. Povar solicitó cooperación para devolver los fondos y ofreció una recompensa de hasta el 10 % si los tokens se devolvían en un plazo de 72 horas. 

Povar añadió que si no se establecía contacto o no se devolvían los fondos dentro de ese plazo, CrossCurve consideraría eldent un asunto penal. El protocolo estaba listo para coordinarse con las autoridades, presentar demandas civiles para obtener una indemnización por daños y perjuicios y colaborar con otras empresas y autoridades del sector de criptomonedas para congelar los activos asociados con la vulnerabilidad, afirmó. 

Estas ofertas de recompensas, también conocidas como recompensas de "sombrero blanco", se han vuelto comunes en la industria de las criptomonedas. En algunos casos, los atacantes han devuelto fondos a cambio de una recompensa, mientras que en otros no se han recuperado.

Las vulnerabilidades entre cadenas siguen plagando el sector de las criptomonedas

Eldent es el último de una larga serie de ataques dirigidos contra puentes entre cadenas y protocolos financieros descentralizados. En los últimos años, miles de millones de dólares se han evaporado en exploits de puentes. Entre los casos más destacados se incluyen el hackeo del puente Ronin, que costó cientos de millones de dólares, así como los ataques a las plataformas Wormhole y Nomad. 

Gran parte de esto se debió a fallos en la verificación de mensajes, como en el caso de CrossCurve. Los puentes entre cadenas, como han advertido desde hace tiempo los analistas de seguridad, se encuentran entre los riesgos más graves del mundo de las criptomonedas. Incluso pequeños errores en la lógica de validación pueden provocar que se acuñen o desbloqueen tokens y se utilicen sin respaldo, lo que genera enormes pérdidas en poco tiempo. 

El creciente número de problemas ha obligado a reguladores, inversores y programadores a exigir prácticas de seguridadtronsólidas, incluyendo auditorías más rigurosas, diseños más sencillos, registros de auditoría más claros y herramientas de monitorización. Sin embargo, como demuestra la experiencia de CrossCurve, aún surgen vulnerabilidades, y se recuerda a los usuarios que siguen expuestos a riesgos significativos al interactuar con protocolos descentralizados.