Saltar al contenido principal

Exploit del puente de CrossCurve de $3M: Cómo una validación faltante drenó un protocolo multi-cadena en minutos

· 9 min de lectura
Dora Noda
Dora Noda
Software Engineer

Tomó menos de una hora. El 31 de enero de 2026, un atacante descubrió que una sola función de contrato inteligente en la infraestructura de puente de CrossCurve carecía de una verificación de validación crítica — y drenó sistemáticamente $ 3 millones a través de Ethereum, Arbitrum y otras redes antes de que nadie pudiera reaccionar. Sin sofisticados ataques de día cero. Sin compromiso de claves internas. Solo un mensaje fabricado y una llamada a una función que cualquiera en la blockchain podría realizar.

El incidente de CrossCurve es un crudo recordatorio de que los puentes cross-chain siguen siendo la superficie de ataque más peligrosa en las finanzas descentralizadas — y que incluso los protocolos que presumen de arquitecturas de seguridad de múltiples capas pueden colapsar cuando un solo contrato falla.

¿Qué es CrossCurve?

CrossCurve, anteriormente conocido como EYWA, es un protocolo de liquidez cross-chain descentralizado diseñado para mover activos de manera fluida entre blockchains. A diferencia de los puentes de tokens simples, CrossCurve se integra con múltiples sistemas de verificación independientes — Axelar, LayerZero y su red propietaria EYWA Oracle Network — para crear lo que describe como una "arquitectura de puente de consenso de múltiples capas".

Los contratos inteligentes PortalV2 del protocolo gestionan los bloqueos y desbloqueos de tokens en las cadenas compatibles, mientras que las capas de mensajería como el General Message Passing (GMP) de Axelar se encargan de la comunicación cross-chain. En teoría, esta redundancia debería prevenir el tipo de exploits de punto único de falla que han plagado a los puentes desde 2022.

En la práctica, una función pasada por alto fue todo lo que se necesitó.

El ataque: Anatomía de un bypass de gateway

La vulnerabilidad residía en el contrato ReceiverAxelar de CrossCurve — un contrato inteligente personalizado creado para recibir y procesar mensajes cross-chain transmitidos a través de la red Axelar.

Bajo una operación normal, así es como funciona la mensajería de Axelar:

  1. Un usuario inicia una transacción cross-chain en la cadena de origen.
  2. La transacción llega al contrato Gateway de Axelar, donde es recogida por los relayers.
  3. Los más de 75 validadores de Axelar alcanzan un consenso mediante criptografía de umbral, firmando colectivamente el mensaje.
  4. El mensaje validado se entrega al contrato Gateway de la cadena de destino.
  5. El contrato receptor verifica que el mensaje provino del Gateway autorizado antes de ejecutarlo.

El fallo crítico estaba en el paso cinco. El contrato ReceiverAxelar de CrossCurve exponía una función pública llamada expressExecute — diseñada para el procesamiento acelerado de mensajes — que falló al verificar si el mensaje entrante realmente se originaba en el Gateway de Axelar.

Esto significaba que cualquier persona podía llamar a expressExecute directamente con una carga útil cross-chain fabricada. El contrato trataría el mensaje falsificado como legítimo e instruiría a PortalV2 a desbloquear tokens en la cadena de destino — sin ningún depósito correspondiente en la cadena de origen.

Como explicó la firma de seguridad blockchain Halborn: "Este exploit no fue una falla del protocolo central de Axelar; fue una falla en el lado del receptor. El contrato personalizado ReceiverAxelar de CrossCurve ejecutó mensajes cross-chain sin autenticarlos suficientemente primero".

El drenaje: $ 3 millones en transacciones coordinadas

El atacante explotó esta brecha de validación con precisión quirúrgica. En cuestión de minutos, drenaron los contratos PortalV2 de CrossCurve en múltiples redes, llevando el saldo del contrato de $ 3 millones a casi cero en una serie de transacciones coordinadas.

El ataque se dirigió a múltiples cadenas simultáneamente — Ethereum y sus redes de Capa 2 entre ellas — demostrando el profundo conocimiento del atacante sobre la arquitectura multicadena de CrossCurve. Cada mensaje suplantado ordenaba a PortalV2 liberar tokens que el atacante nunca había depositado.

El CEO de CrossCurve, Boris Povar, respondió rápidamente instando a los usuarios a detener toda actividad con el protocolo. El equipo rastreó los fondos robados hasta 10 direcciones de billetera y las compartió públicamente, emitiendo un ultimátum de 72 horas: devolver el 90% de los fondos y quedarse con el 10% como recompensa de whitehat bajo la política SafeHarbor del protocolo, o enfrentar una escalada.

Las amenazas de escalada fueron integrales — denuncias penales, litigios civiles, cooperación con exchanges centralizados y emisores de stablecoins para congelar activos, divulgación pública de todos los datos de las billeteras y coordinación con firmas de análisis de blockchain y autoridades policiales.

Por qué los puentes se siguen rompiendo

El exploit de CrossCurve no es un incidente aislado. Pertenece a un largo y devastador linaje de hacks a puentes que han definido los capítulos más oscuros de la seguridad en DeFi.

El salón de la infamia de los exploits de puentes:

  • Ronin Bridge (2022): $ 625 millones robados a través de claves de validador comprometidas
  • Wormhole Bridge (2022): $ 320 millones perdidos a través de un bypass de verificación de firma
  • Nomad Bridge (2022): $ 190 millones drenados después de que una actualización defectuosa hiciera que cada mensaje fuera demostrable
  • Force Bridge (2025): Más de $ 3 millones explotados en la red Nervos Network
  • CrossCurve (2026): $ 3 millones a través de mensajes cross-chain fabricados

Para 2025, el daño acumulado era asombroso. Solo en los primeros seis meses, los hackers llevaron a cabo 119 ataques que sumaron $ 3 mil millones en criptomonedas robadas — superando la totalidad de las pérdidas de 2024 en más de la mitad. Chainalysis informó que la trayectoria de 2025 fue un 17% peor que la de 2022, anteriormente el peor año para los robos de criptomonedas.

El patrón revela un problema estructural: los puentes son intrínsecamente complejos. Deben gestionar el estado a través de múltiples blockchains independientes, cada una con su propio mecanismo de consenso, modelo de finalidad y entorno de ejecución. Cada punto de integración — cada contrato receptor personalizado, cada procesador de mensajes, cada mecanismo de bloqueo de tokens — representa una superficie de ataque potencial.

El patrón de vulnerabilidad recurrente

Lo que hace que el exploit de CrossCurve sea particularmente instructivo es cómo refleja una clase recurrente de vulnerabilidades de puentes: autenticación de mensajes insuficiente en el lado del receptor.

En la arquitectura de Axelar, la seguridad está diseñada para fluir a través de los contratos Gateway, que son controlados colectivamente por validadores mediante criptografía multipartita. Los mensajes que pasan por el Gateway llevan el peso del consenso de la red. Pero cuando un contrato receptor elude esta verificación — ya sea a través de una función de conveniencia como expressExecute o un simple descuido — todo el modelo de seguridad colapsa.

Este es el equivalente en puentes a construir una fortaleza con una puerta principal cerrada con llave y una puerta lateral sin seguro. La sofisticación del sistema de seguridad principal se vuelve irrelevante cuando el atacante encuentra el punto de entrada sin vigilancia.

Chainlink ha documentado siete categorías distintas de vulnerabilidades de puentes cross-chain, que incluyen:

  • Eventos de depósito falsos — falsificación de transacciones en la cadena de origen
  • Suplantación de mensajes — fabricación de mensajes cross-chain (el patrón de CrossCurve)
  • Compromiso de validadores / repetidores — ataque directo a la capa de consenso
  • Ataques de repetición — reenvío de mensajes válidos para drenar fondos adicionales

El caso de CrossCurve entra de lleno en la categoría de suplantación de mensajes, pero con un giro: el atacante no necesitó comprometer la capa de mensajería en sí misma. Simplemente llamaron a una función que se saltó la capa de mensajería por completo.

Lecciones para desarrolladores y usuarios

El exploit de CrossCurve ofrece varias conclusiones concretas para el ecosistema DeFi:

Para desarrolladores de protocolos:

  • Cada función pública que procesa mensajes cross-chain debe validar el origen del mensaje. Sin excepciones. Las funciones de conveniencia diseñadas para la velocidad (como expressExecute) son especialmente peligrosas si omiten la autenticación.
  • La seguridad multicapa solo funciona si cada capa aplica sus comprobaciones de forma independiente. La integración de CrossCurve con Axelar, LayerZero y EYWA Oracle no ayudó porque el contrato vulnerable existía por debajo de las tres capas de verificación.
  • Las auditorías de seguridad deben cubrir los contratos de integración, no solo los protocolos principales. El protocolo principal de Axelar funcionó según lo diseñado. El fallo estuvo en la implementación personalizada de la interfaz del receptor de CrossCurve.

Para usuarios de DeFi:

  • El riesgo de los puentes es real y persistente. A pesar de años de incidentes y miles de millones en pérdidas, los puentes siguen siendo arquitectónicamente difíciles de asegurar. Minimice la cantidad de capital expuesto a los contratos de puente en cualquier momento dado.
  • La diversificación multichain del conjunto de seguridad de un protocolo no elimina el riesgo de un punto único de falla si los contratos que consumen esos servicios de seguridad no están implementados correctamente.
  • Esté atento a las políticas de SafeHarbor y a la velocidad de respuesta ante incidentes. La rápida identificación por parte de CrossCurve de las carteras de los atacantes y la oferta de recompensa estructurada representan un estándar de respuesta ante incidentes que está mejorando en DeFi — aunque la prevención sigue siendo mucho más valiosa que la respuesta.

El futuro de la seguridad cross-chain

La industria está evolucionando lentamente su enfoque hacia la seguridad de los puentes. Las funciones de limitación de tasa de Axelar, que restringen la cantidad de cada activo que puede transferirse en un intervalo de tiempo determinado, representan una estrategia de mitigación. La verificación formal de los contratos de puente, los programas de recompensas por errores (bug bounty) ampliados a través de plataformas como Immunefi y el marco de trabajo SEAL WhiteHat Safe Harbor están impulsando al ecosistema hacia mejores normas.

Pero el desafío fundamental permanece: los puentes cross-chain se sitúan en la intersección de múltiples dominios de confianza, y asegurar esos límites requiere acertar en cada detalle — en cada cadena, cada contrato y cada función. Un solo control de validación omitido, como demostró dolorosamente CrossCurve, es demasiado.

Los 3 millones de dólares perdidos en el exploit de CrossCurve son modestos para los estándares de los hacks de DeFi. Pero la lección que enseña vale mucho más: en un mundo multichain, la seguridad es tan fuerte como el contrato receptor más débil en el otro extremo del puente.

Construir sobre una infraestructura multichain requiere confianza en cada capa de la pila tecnológica. BlockEden.xyz proporciona servicios de RPC y API de grado empresarial en Ethereum, Sui, Aptos y más de 20 redes — con confiabilidad y seguridad integradas en cada endpoint. Explore nuestro mercado de API para potenciar sus aplicaciones cross-chain sobre una infraestructura diseñada para durar.

Share on Twitter