Un exploit revelado el 1 de febrero de 2026 afectó al puente de solvencia Cross Curve asociado con el intercambio descentralizado financiero (DEX) de Ethereum Curve, causando pérdidas estimadas. “Aproximadamente 2,76 millones de dólares en múltiples redes”..
El hack fue informado por BlockSec, una empresa de disección y seguridad en sujeción.
Como se muestra en la posterior imagen, aproximadamente $1,3 millones del monto total robado se concentraron en la capa almohadilla de Ethereum, y $1,28 millones adicionales en la red Arbitrum de segunda capa (L2).
En ese sentido, curva transversal dicho El ataque fue contenido el 2 de febrero.. Boris Povall, director ejecutor del protocolo, publicó una letanía de direcciones que pueden activo recibido parte de los fondos robados.
Medidas de contención, rastreo y seguimiento
El 1 de febrero de 2026, tras conocer el incidente de seguridad. equipo de finanzas curva sabido Advertencia a los usuarios Si está expuesto indirectamente a los protocolos afectados.
Según Curve, los usuarios que habían asignado votos de gobernanza para dirigir solvencia a grupos vinculados a CrossCurve (anteriormente Eywa) pudieron revisar sus posiciones y considerar retirar su apoyo posteriormente del incidente.
Al día posterior, CrossCurve informó que reveló que los atacantes pudieron extraer con éxito tokens EYWA de puentes en la red Ethereum, pero no pudieron usarlos. Según el equipo: esos fondos fueron congelados Esto se debe a que XT Exchange, el único sitio con depósitos activos de EYWA, ha congelado los tokens, por lo que no se pueden traicionar ni transferir.
Según CrossCurve, los tokens EYWA en la red Arbitrum permanecen seguros.
Incluso indicaron que requerían intercambios centralizados (como KuCoin, MEXC y BingX) para: Asegurar que los atacantes no tengan opción de traicionar o mover activos robadosevitando así la entrada en circulación e impactando la proposición de tokens.
¿Cómo ocurrió el hackeo de Curve Finance?
El incidente ocurrió en el puente. sujeción cruzada (puente entre cadenas) De CrossSurve. En pocas palabras, El sistema fue engañado haciéndole creer que había una transferencia legítima de otra sujeción.. Al no realizar la fuente, liberaron fondos que no deberían activo sido liberados.
puente (o puente (inglés) es una infraestructura que permite mover activos entre diferentes redes.
Para especular, un puente entre cadenas bloquea los fondos en la red de origen, ordenar la exhalación o manumisión de fortuna; Un equivalente en la red de destino.
Este paso intermedio está respaldado por un mensaje que demuestra que el interrupción positivamente ocurrió, por lo que el sistema debe realizar que el mensaje sea de la sujeción correcta. Incluso debes asegurarte de que no haya sido manipulado antaño de permitir el movimiento.
Según el documento técnico de BlockSec: El parecer estuvo en el anuencia inteligente Se flama “Receptor Axelar”.
Ese anuencia omitió una comprobación importante. Se negociación de una comprobación destinada a confirmar que el mensaje recibido es natural. Como este control no existe, El sistema aceptó un mensaje falsificado que pretendía provenir de otra red.permitiendo operaciones que no deberían realizarse.
Según BlockSec, el atacante utilizó estos mensajes para tildar a la función “expressExecute”. Esta señal provoca puerta o activó directamente el desbloqueo no facultado del token accediendo a la puerta de entrada del puente.
Según BlockSec, el anuencia afectado fue PortalV2, que protege la solvencia del puente.
CrossCurve informó que están realizando una investigación exhaustiva para cumplimentar más detalles sobre este exploit.
(Traducción de etiquetas) Convenio inteligente
