-
La falla estuvo en la validación del respaldo económico, según Blockaid.
-
PeckShield afirma que desde mediados de mayo se registraron 8 ataques a puentes.
El puente que une a las redes Verus y Ethereum fue drenado por aproximadamente USD 11,58 millones en un ataque ejecutado este 17 de mayo, según la firma de ciberseguridad on chain Blockaid. Los tokens sustraídos fueron 1.625 ethers (ETH), 103,6 tBTC (una versión de bitcoin envuelta) y 147.000 dólares en la stablecoin USDC. El equipo de Verus no ha emitido un comunicado oficial aún.
Al momento de esta redacción, la dirección asociada al hacker mantiene unos USD 11,4 millones en ether, convertidos desde los activos extraídos del puente, según datos de Arkham.
La falla: respaldo económico ausente, prueba criptográfica válida
Según el equipo de Blockaid, el contrato inteligente del puente que unía ambas cadenas verificaba correctamente tres elementos: la raíz de estado notariada de Verus (con ocho de quince firmas de notarios válidas), la prueba de Merkle de la exportación entre cadenas, y que el hash del paquete de transferencias coincidiera con el comprometido en la exportación.
Lo que no verificaba era que los montos declarados en esa exportación (mediante funciones como totalAmounts, totalBurned, totalFees) estuvieran efectivamente respaldados por valor bloqueado o quemado en la cadena de origen.
Un puente entre cadenas (un mecanismo que permite mover activos de una red a otra sin un intermediario centralizado) depende de que cada pago en el destino esté respaldado por un bloqueo o quema equivalente en el origen. El puente Verus-Ethereum verificaba la integridad formal de los mensajes, pero no esa correspondencia económica, conforme a los investigadores de Blockaid.
El atacante construyó una transacción de apenas 0,02 VRSC (token nativo de Verus) con un costo de aproximadamente USD 10 en comisiones, cuyo campo de exportación comprometía un hash de transferencias, pero declaraba montos de origen vacíos. La red Verus aceptó esa transacción como válida; los notarios firmaron la raíz de estado resultante sin detectar anomalía.
Cuando el atacante llamó a la función submitImports en Ethereum con el paquete serializado, el contrato verificó que el hash coincidía, decodificó el blob y liberó los fondos desde sus reservas, de acuerdo con Blockaid. Según este equipo, incorporar esa validación económica en la función checkCCEValues del contrato requeriría aproximadamente diez líneas de Solidity.
Según BlockSec Phalcon, otra firma de ciberseguridad on chain, entre la verificación del mensaje y la ejecución de los pagos en Ethereum no existe un control que confirme si el respaldo económico en la cadena de origen es suficiente. Esta firma aclaró también que el contrato desplegado no es de código abierto y que su análisis se basa en las transacciones del ataque y el repositorio público, que puede no reflejar la implementación completa.
Un ataque entre varios
Desde mediados de mayo de 2026, ocho exploits contra protocolos de intercambio entre cadenas acumularon USD 328,6 millones en pérdidas, según analistas de seguridad de la plataforma PeckShield. Entre ellos, los hackeos a KelpDAO y LayerZero, así como también el sufrido por el puente Hyperbridge entre Polkadot y Ethereum.
La firma incluyó en esa cuenta el reciente hackeo a THORChain, una plataforma que opera como exchange descentralizado (DEX) y no estrictamente como un puente, aunque también facilita intercambios entre cadenas distintas.
El ataque al puente Verus-Ethereum se suma a una lista de incidentes que comparten el mismo patrón: contratos inteligentes que verifican la forma de los mensajes que reciben, pero no el valor que los respalda.
