O ataque de 3 milhões de dólares na ponte cross-chain da CrossCurve: como contornar a verificação de segurança através de informações falsas

No domingo, o projeto DeFi CrossCurve (antigo EYWA) sofreu um grave incidente de segurança. A equipa oficial do projeto descobriu uma vulnerabilidade grave no mecanismo de transferência de ativos entre cadeias, que resultou na apropriação ilegal de aproximadamente 3 milhões de dólares em fundos. Segundo análises de empresas de segurança como BlockSec, este incidente expôs novamente os riscos sistémicos atuais na segurança das pontes entre cadeias.

A equipa do CrossCurve posteriormente bloqueou dez endereços de carteiras Ethereum que receberam os fundos roubados. Na declaração, o CEO do CrossCurve, Борис Повар, afirmou que as provas iniciais não indicam envolvimento intencional dos destinatários em atividades maliciosas, mas a equipa estabeleceu um prazo final de 72 horas. Se os fundos não forem devolvidos ou os destinatários não entrarem em contacto, o CrossCurve irá escalar a resposta — incluindo denúncia às autoridades, congelamento de ativos nas exchanges, divulgação pública das carteiras e colaboração com empresas de análise on-chain para rastrear o fluxo de fundos.

Decifrando o método do ataque: como mensagens falsificadas entre cadeias enganaram o mecanismo de validação

O núcleo técnico do ataque reside na manipulação do processo de validação. Os atacantes conseguiram enviar mensagens falsificadas de comunicação entre cadeias para o contrato inteligente do CrossCurve. Essas instruções falsas deveriam ter sido identificadas e rejeitadas pelo sistema, mas devido a uma lógica de validação deficiente, o contrato interpretou os dados fraudulentos como comandos legítimos, executando assim uma extração não autorizada de fundos.

No relatório de análise, a BlockSec apontou que a origem do problema está na “falta grave de mecanismos de validação”. As mensagens entre cadeias precisam passar por autenticação de identidade antes de serem executadas, mas na arquitetura do CrossCurve, esses procedimentos essenciais não foram suficientemente implementados, levando o contrato a não verificar adequadamente a autenticidade dos dados recebidos.

Perdas em múltiplas cadeias e distribuição dos fundos

Quanto ao montante de perdas, há divergências nas avaliações do setor. A conta de monitoramento de segurança Defimons (operada pela equipe Decurity) estima uma perda total de 3 milhões de dólares, envolvendo várias redes blockchain. Já a BlockSec fornece uma distribuição mais detalhada: aproximadamente 1,3 milhão de dólares na Ethereum, cerca de 1,28 milhão na Arbitrum, e aproximadamente 180 mil dólares dispersos em redes emergentes como Optimism, Base, Mantle, Kava, Frax, Celo e Blast.

A CrossCurve ainda não confirmou oficialmente o valor total das perdas nem respondeu às estimativas das empresas de segurança. Essa inconsistência de dados reflete a dificuldade de fazer uma contagem precisa das perdas entre cadeias na ecossistema de cross-chain.

Vulnerabilidade fundamental: o ponto fraco de validação único

Danos e estratégias de pesquisa do Unstoppable Wallet, liderados por Дан Дадыбаё, oferecem uma análise técnica mais aprofundada. Ele destacou que o protocolo Axelar, usado pelo CrossCurve, não apresenta problemas por si só, mas a vulnerabilidade real está no contrato ReceiverAxelar, desenvolvido internamente pela equipe do CrossCurve. Este contrato personalizado de recepção de mensagens não implementou mecanismos de autenticação de identidade adequados ao lidar com comunicações entre cadeias.

Дадыбаё enfatizou que o maior desafio na segurança de pontes entre cadeias não está na camada de transmissão de mensagens, mas em garantir que nenhum caminho de execução possa contornar a verificação de identidade. Se existir qualquer caminho alternativo que permita ignorar essa verificação, toda a confiança na ponte desmorona.

Ele citou o ataque à ponte Nomad em 2022 como exemplo: nesse incidente, os atacantes também exploraram falhas na validação, causando perdas próximas a 190 milhões de dólares. Isso demonstra que ataques semelhantes já ocorreram na indústria, e alguns projetos continuam a cometer os mesmos erros ao projetar seus contratos.

Problemas do setor na segurança entre cadeias e lições de proteção

O consenso do setor é que o problema fundamental das pontes entre cadeias atuais reside na sua estrutura de liquidez centralizada e na lógica de validação fragmentada dos projetos. Desde que o projeto da ponte delegue o poder de confiança a um único processo de validação, qualquer falha nesse processo compromete toda a segurança do sistema.

Para os usuários, recomenda-se adotar as seguintes medidas de proteção:

• Manter cautela ao usar pontes entre cadeias, especialmente as novas ou com menor reputação
• Consultar relatórios de auditoria de segurança antes de usar, preferindo produtos auditados por empresas reconhecidas
• Diversificar os riscos, evitando transferir grandes quantidades de uma só vez por uma única ponte
• Acompanhar alertas de plataformas de monitoramento de segurança sobre riscos em tempo real

O incidente do CrossCurve reforça que, mesmo em um ecossistema DeFi aparentemente maduro, ainda existem brechas de segurança exploráveis. O crescimento das tecnologias de cross-chain impulsiona a colaboração entre múltiplas cadeias, mas também cria novas oportunidades para atacantes. Somente por meio de padrões de design mais rigorosos, auditorias de segurança mais completas e maior transparência na divulgação de riscos será possível mitigar gradualmente os perigos de segurança no ecossistema de cadeias cruzadas.