Control de acceso en Nervos Force Bridge
Un fallo de control de acceso drenó 3,76 M$ del Force Bridge de Nervos en Ethereum y BNB Chain; el botín se cambió a ETH y se lavó por Tornado y FixedFloat.
- Fecha
- Víctima
- Nervos Network
- Estado
- Fondos robados
El 2 de junio de 2025, el Force Bridge —el protocolo cross-chain de Nervos Network que conecta CKB (Nervos) con Ethereum y BNB Smart Chain— fue explotado por aproximadamente 3,76 millones de dólares. La causa raíz fue un problema de control de acceso en la lógica del contrato del puente. Los fondos robados se cambiaron rápidamente a ETH y se enrutaron por Tornado Cash y FixedFloat para su lavado.
Qué ocurrió
Force Bridge gestionaba transferencias cross-chain de activos entre la cadena CKB de Nervos y redes compatibles con EVM (Ethereum y BNB Chain). Los contratos del puente en cada lado EVM retenían reservas custodias de los activos bridgeados; los retiros cross-chain requerían autorización de la infraestructura de operadores del puente.
La vulnerabilidad vivía en el control de acceso que regía las operaciones privilegiadas sobre los contratos del puente. El mecanismo técnico exacto no se detalló exhaustivamente en público, pero el patrón on-chain era consistente con un atacante que había obtenido autoridad de firma a nivel de operador, ya fuera mediante claves comprometidas, brecha de infraestructura o un error de configuración que permitiera a llamadores no autorizados invocar rutas privilegiadas.
Desglose del drenaje:
- ~3,1 millones en Ethereum, incluyendo:
- 257.800 USDT
- 539 ETH
- 898.300 USDC
- 60.400 DAI
- 0,79 WBTC
- ~600.000 en BNB Chain (mezcla de stablecoins y BNB).
El atacante convirtió los activos robados a ETH a través de agregadores DEX y enrutó los ingresos por Tornado Cash y FixedFloat, un exchange conocido por ser usado en operaciones de lavado.
Consecuencias
- Nervos Network detuvo las operaciones de Force Bridge y lanzó una investigación con apoyo de las fuerzas del orden.
- No hubo atribución pública del actor de amenaza; el patrón on-chain era consistente con operaciones alineadas con estados, pero no siguió ninguna atribución formal.
- Sin recuperación pública desde las wallets del atacante.
Por qué importa
El incidente de Force Bridge continúa el patrón recurrente de vulnerabilidades de control de acceso en puentes que han producido pérdidas DeFi de tamaño medio durante la era 2021-2026:
- ChainSwap (jul 2021) — vacío de autorización de mint en puente sobre BSC.
- Qubit Finance (ene 2022) — aceptación de depósito falso en puente.
- Nomad (ago 2022) — inicialización tratando el cero como root válida.
- HECO Bridge (nov 2023) — compromiso de clave de operador.
- Force Bridge (jun 2025) — control de acceso de operador.
En todos los casos, el modelo de confianza en operadores de los puentes cross-chain es la superficie de ataque estructural. Incluso cuando los contratos están bien escritos y las claves de operador están protegidas, la brecha entre "el puente funciona correctamente bajo el comportamiento previsto del operador" y "el puente no funciona adversarialmente bajo ningún acceso del atacante" es lo que estos incidentes explotan repetidamente.
Las respuestas defensivas —configuraciones multi-DVN, comités de atestación con slashing, diseños de puente de ejecución canónica que no dependen de firmantes— se están adoptando progresivamente, pero la generación de puentes más antigua sigue operando con modelos de confianza en operadores que han demostrado ser estructuralmente frágiles.
Fuentes y evidencia on-chain
- [01]halborn.comhttps://www.halborn.com/blog/post/explained-the-force-bridge-hack-june-2025
- [02]theblock.cohttps://www.theblock.co/post/356535/hackers-drain-over-3-million-in-crypto-from-nervos-networks-force-cross-chain-bridge-say-security-analysts
- [03]cryptocsec.substack.comhttps://cryptocsec.substack.com/p/hack-alert-37-million-dollars-stolen