-
El exploit provocó pérdidas en redes como Ethereum, Base y Arbitrum.
-
El equipo de CrossCurve afirmó haber contenido el incidente y rastrear las direcciones involucradas.
Un exploit publicado este 1 de febrero de 2026 afectó al puente de liquidez Cross Curve asociado al exchange descentralizado (DEX) Curve Finance de Ethereum, provocando pérdidas estimadas «de alrededor de USD 2,76 millones en múltiples redes».
El hackeo fue denunciado por BlockSec, una firma de seguridad y de análisis on chain.
Del total sustraído, unos USD 1,3 millones se concentraron en la capa base de Ethereum y otros USD 1,28 millones en la red de segunda capa (L2) Arbitrum, como se ve en la siguiente imagen:
Por su parte, CrossCurve afirmó el 2 de febrero haber contenido el ataque. Boris Povar, CEO de ese protocolo, publicó una lista con direcciones que habrían recibido parte de los fondos robados.
Contención, rastreo y medidas posteriores
El 1 de febrero de 2026, tras conocerse el incidente de seguridad, el equipo de Curve Finance publicó una advertencia dirigida a los usuarios con exposición indirecta al protocolo afectado.
Según indicó Curve, los usuarios que habían destinado votos de gobernanza utilizados para dirigir liquidez hacia pools vinculados a CrossCurve (antes llamado Eywa), podrían revisar sus posiciones y considerar retirar ese apoyo tras el incidente.
Un día después, CrossCurve informó que el atacante logró extraer tokens EYWA desde el puente en la red de Ethereum, pero aclaró que no podía utilizarlos. Según el equipo, esos fondos quedaron inmovilizados porque XT Exchange, el único sitio con depósitos activos para EYWA, congeló los tokens, impidiendo que fueran vendidos o transferidos.
De acuerdo con CrossCurve, los tokens EYWA en la la red Arbitrum permanecen a salvo.
También señalaron que realizaron peticiones a exchanges centralizados (KuCoin, MEXC, BingX, entre otros) para asegurar que el atacante no tuviera opciones de vender ni mover los activos sustraídos, evitando así su ingreso en circulación y un impacto sobre el suministro del token.
¿Cómo ocurrió el hackeo a Curve Finance?
El incidente se originó en el puente cross-chain (puente entre cadenas) de CrossSurve. En términos simples, el sistema fue engañado para creer que existía una transferencia legítima desde otra cadena. Al no verificar el origen, liberó fondos que nunca debieron salir.
Un puente (o brigde en inglés) es una infraestructura que permite mover activos entre distintas redes.
Para operar, un puente entre cadenas bloquea los fondos en la red de origen y ordena la emisión o liberación de activos equivalentes en la red de destino.
Ese paso intermedio se apoya en un mensaje que certifica que el bloqueo ocurrió realmente, por lo que el sistema debe verificar que dicho mensaje provenga de la cadena correcta. También debe confirmar que este no haya sido manipulado antes de autorizar cualquier movimiento.
De acuerdo con el informe técnico de BlockSec, la falla estuvo en un contrato inteligente llamado ‘ReceiverAxelar’.
En ese contrato, se saltó una validación crítica. Se trata de una verificación destinada a confirmar que el mensaje recibido era auténtico. Al no existir dicho control, el sistema aceptó el mensaje falsificado que simulaba provenir de otra red, habilitando operaciones que nunca debieron ejecutarse.
Con esos mensajes, el atacante invocó la función ‘expressExecute’, según BlockSec. Esa llamada evitó el chequeo del gateway o puerta de entrada del puente y activó directamente el desbloqueo no autorizado de tokens.
Según BlockSec, El contrato afectado fue PortalV2, que custodiaba la liquidez del puente.
Desde CrossCurve informaron que están llevando adelante una investigación completa para dar más detalles del exploit.
