CrossCurve puente cross-chain robado por un valor de 3 millones de dólares: una vulnerabilidad en el contrato inteligente vuelve a sonar la alarma

La conveniencia de las finanzas cross-chain oculta vulnerabilidades de seguridad como una bomba de tiempo, que se activan una y otra vez de manera similar, haciendo que toda la industria reflexione.

El 2 de febrero de 2026, hora de Beijing, la plataforma de liquidez cross-chain CrossCurve (anteriormente EYWA), respaldada por el fundador de Curve Finance, Michael Egorov, confirmó oficialmente que su protocolo de puente cross-chain está siendo atacado debido a una vulnerabilidad en los contratos inteligentes. Los atacantes, mediante la falsificación de mensajes cross-chain, eludieron la verificación clave de la puerta de enlace, lo que provocó el desbloqueo no autorizado de tokens, resultando en el robo de aproximadamente 3 millones de dólares en varias cadenas.

Resumen del evento: ¿Por qué falló la arquitectura de múltiples verificaciones?

Alrededor del 31 de enero de 2026, la organización de seguridad blockchain Defimon Alerts detectó que el saldo del contrato principal de CrossCurve, PortalV2, cayó de aproximadamente 3 millones de dólares a casi cero. CrossCurve rápidamente publicó un aviso urgente en la plataforma X: “Nuestra red de puentes está siendo atacada en este momento, los atacantes aprovecharon una vulnerabilidad en un contrato inteligente. Mientras investigamos, por favor, suspendan toda interacción con CrossCurve.”

Irónicamente, CrossCurve había promocionado anteriormente su arquitectura de seguridad de verificación múltiple en su “puente de consenso” como su principal valor diferencial. Esta arquitectura integra Axelar, LayerZero y su propia red de oráculos EYWA, con el objetivo de eliminar fallos de punto único mediante múltiples fuentes de verificación independientes. El equipo del proyecto afirmó: “La probabilidad de que múltiples protocolos cross-chain sean atacados simultáneamente por hackers es casi nula.”

Análisis de la vulnerabilidad: una falla fatal en la verificación

El análisis de seguridad revela la esencia técnica del ataque. La raíz de la vulnerabilidad radica en una aparente simple falta de verificación, suficiente para vulnerar todo el sistema complejo de verificaciones múltiples.

Ruta del ataque

El núcleo del ataque ocurrió en el contrato ReceiverAxelar de CrossCurve. Este contrato recibe mensajes de la red cross-chain Axelar y ejecuta las instrucciones correspondientes.

Normalmente, cualquier mensaje cross-chain que se desee ejecutar debe pasar por la verificación de consenso de la red Axelar. Sin embargo, la función expressExecute en este contrato tiene un defecto fatal. Los atacantes descubrieron que podían llamar directamente a esta función y pasarle parámetros de mensajes cross-chain falsificados, sin que el contrato verificara adecuadamente la fuente real del mensaje.

Proceso del ataque

Una vez que se acepta la instrucción falsificada, el contrato envía una orden de desbloqueo de tokens al contrato PortalV2, que es responsable de la custodia de activos.

Dado que el contrato PortalV2 confía plenamente en las instrucciones provenientes de ReceiverAxelar, libera fielmente los activos bloqueados en el contrato a la dirección designada por el atacante. Este proceso puede repetirse varias veces, hasta que los principales activos en el contrato sean completamente saqueados.

Repetición histórica: una cicatriz de seguridad sin sanar en cuatro años

Este incidente ha generado una fuerte sensación de déjà vu en la comunidad de seguridad criptográfica. La experta en seguridad Taylor Monahan expresó su asombro: “No puedo creer que hayan pasado cuatro años y nada haya cambiado.” Se refiere al ataque a la puente cross-chain Nomad en agosto de 2022, que impactó a la industria. En ese momento, Nomad fue víctima de una vulnerabilidad similar en la verificación de inicialización, y los atacantes robaron aproximadamente 190 millones de dólares. Lo más sorprendente fue que, debido a la simplicidad del método de explotación, tras el incidente se convirtió en una especie de “fiesta de robar dinero”, con más de 300 direcciones copiando la misma técnica para robar fondos.

Desde Nomad hasta CrossCurve, las técnicas de ataque son esencialmente muy similares: ambas se basan en la insuficiente verificación del elemento más básico de seguridad, la fuente del mensaje cross-chain. Estas tragedias repetidas evidencian que, aunque la industria avanza rápidamente, algunas normas fundamentales de desarrollo y auditoría de contratos inteligentes no se aplican de manera efectiva.

Reacción del mercado: crisis de confianza y volatilidad de precios

El incidente de seguridad provocó rápidamente una reacción en cadena en el mercado. CrossCurve, afectada por el ataque, tiene estrechos vínculos con Curve Finance, uno de los principales protocolos DeFi, cuyo fundador había invertido en la plataforma, sirviendo como respaldo de confianza.

Tras el incidente, Curve Finance emitió rápidamente un comunicado en X, recomendando a los usuarios “revisar sus posiciones y considerar retirar estos votos”, y enfatizó la necesidad de ser cautelosos al interactuar con “proyectos de terceros”. Estas palabras, cautelosas, fueron interpretadas ampliamente como un intento de distanciarse rápidamente para evitar daños a su propia reputación.

Reacción del mercado principal

Según datos de Gate.io, al 2 de febrero de 2026, el precio de Bitcoin (BTC) en las últimas 24 horas había caído un -2.51%, situándose en $76,814.

En ese mismo período, el precio de Ethereum (ETH) cayó un -7.42%, a $2,271.18. Aunque la volatilidad del mercado responde a múltiples factores, la aparición de una vulnerabilidad de seguridad significativa en un protocolo clave del ecosistema DeFi sin duda intensifica la percepción de riesgo en el mercado.

Reflexión de la industria: la paradoja de la seguridad en los puentes cross-chain

El incidente de CrossCurve vuelve a poner en primer plano el consenso de que “los puentes cross-chain son el eslabón más vulnerable en el mundo cripto”. Ya sea por los casos anteriores de Ronin (pérdida de 625 millones de dólares), Wormhole (pérdida de 325 millones de dólares) o el propio evento actual, todos confirman esta percepción.

La paradoja de la seguridad en los puentes cross-chain radica en que, para permitir la libre circulación de activos entre diferentes blockchains, deben establecer un centro de confianza y verificación en múltiples cadenas con modelos de seguridad diversos. Este centro (contrato inteligente) si presenta una falla lógica, se convierte en un único punto de fallo para todo el pool de fondos. Incluso si se diseña con múltiples verificaciones externas, como CrossCurve, las deficiencias en la implementación del contrato pueden hacer que toda protección externa sea inútil.

Últimos avances y recomendaciones para los usuarios

Frente a la continua salida de fondos y la presión de la opinión pública, los desarrolladores de CrossCurve han tomado medidas de respuesta ante la crisis. Según su última declaración oficial, han establecido un plazo de 72 horas para la devolución de fondos. Piden a los titulares de las direcciones relacionadas que cooperen en la devolución de los fondos transferidos por error y, siguiendo su “política de divulgación de responsabilidad de puerto seguro”, prometen ofrecer hasta un 10% de los fondos como recompensa a los hackers éticos.

Si no se alcanza un acuerdo en ese plazo, el equipo del proyecto anunció que intensificará las medidas, incluyendo acciones legales y colaboraciones con exchanges y emisores de stablecoins para rastrear y congelar los activos relacionados.

El precio de Bitcoin cayó un 2.51% en las 24 horas posteriores al incidente, mientras que Ethereum sufrió una caída aún mayor, del 7.42%. El mercado responde con cifras frías a la pérdida de confianza provocada por la falla en el código.

El conteo regresivo de 72 horas para la “puerta de seguridad” que estableció el equipo de CrossCurve está en marcha. Los registros en exploradores de bloques muestran que los fondos robados permanecen en la dirección del atacante, sin haber sido transferidos en gran escala. ¿Terminará esta tormenta, provocada por una línea de código de verificación faltante, con una resolución amistosa con los hackers o se convertirá en otra larga disputa internacional por la recuperación de activos? La respuesta aún está en el aire.