Exploit en el puente Verus-Ethereum: Hackers roban $11.6 millones en el último ataque DeFi

Un mensaje de transferencia falsificado permitió a un atacante drenar 1,625 ETH, 147,659 USDC y 103.57 tBTC v2 del puente entre Verus Protocol y Ethereum, en un incidente que se suma a una oleada de ataques que superan los $168 millones en el primer trimestre de 2026.

El puente entre Verus Protocol y Ethereum fue explotado el lunes mediante un mensaje de transferencia falsificado, permitiendo al hacker sustraer fraudulentamente al menos 11.58 millones de dólares en criptomonedas. La plataforma de seguridad onchain Blockaid identificó el exploit en curso el lunes, mientras que la firma PeckShield confirmó que los fondos fueron posteriormente convertidos a Ether. El protocolo aún no se había pronunciado públicamente al momento de la publicación.

Contexto y relevancia del ataque

El incidente se enmarca en un panorama preocupante para el ecosistema de las finanzas descentralizadas (DeFi). Durante el primer trimestre de 2026, los hackers robaron más de 168.6 millones de dólares en 34 protocolos DeFi, según datos de la industria.

El mes de abril de 2026 registró los dos mayores exploits del año hasta la fecha: Drift Protocol, con pérdidas de 280 millones de dólares, y Kelp, con 292 millones de dólares. A esto se suma que el sábado anterior al ataque a Verus, THORChain confirmó un exploit de 10 millones de dólares.

El ataque al puente Verus-Ethereum se inserta así dentro de una tendencia más amplia de vulnerabilidades en el ecosistema DeFi, donde los puentes entre blockchains han sido históricamente uno de los puntos más débiles de la infraestructura.

Detalles del exploit

¿Cómo ocurrió el ataque?

El vector de ataque utilizado por el hacker consistió en engañar al protocolo Verus-Ethereum al hacerle creer que las instrucciones de transferencia eran reales. Según los análisis de seguridad, el atacante empleó un «payload de importación falsificado» que logró pasar el flujo de verificación del puente.

Como consecuencia directa, el puente envió fondos desde sus reservas directamente a la billetera del atacante. Los datos onchain muestran que se realizaron tres transferencias fraudulentas hacia la dirección controlada por el hacker.

¿Qué dijeron los expertos en seguridad?

Blockaid, la firma que primero identificó el exploit, afirmó que el ataque guarda similitudes con dos de los exploits más notorios de la historia del sector: el del puente Nomad, que en 2022 perdió 190 millones de dólares, y el de Wormhole, que ese mismo año sufrió pérdidas por 325 millones de dólares.

«NO es una omisión de ECDSA. NO es un compromiso de clave notaria. NO es un error de parser/hash-binding. ES una validación de fuente-cantidad faltante en checkCCEValues – aproximadamente 10 líneas de Solidity para corregir»

Por su parte, la firma ExVul confirmó que el atacante utilizó un «payload de importación falsificado» que logró superar la verificación, resultando en tres transferencias a la billetera del drenador.

Fondos robados y movimientos posteriores

La cantidad exacta sustraída asciende a 1,625 ETH, 147,659 USDC y 103.57 tBTC v2, cuyo valor combinado supera los 11.5 millones de dólares. Los datos onchain posteriores al ataque muestran que los fondos fueron convertidos a Ether.

Según información de Etherscan, el saldo actual de la billetera del atacante es de 5,402 Ether, valorados en más de 11.4 millones de dólares al momento del reporte. Blockaid compartió en su cuenta de X una transacción de Etherscan que muestra la transferencia inicial realizada por el hacker.

Reacciones y medidas

Al momento de la publicación de este artículo, Verus Protocol no había confirmado públicamente el exploit. Cointelegraph contactó al protocolo para solicitar comentarios, pero no se obtuvo respuesta inmediata.

Los expertos en seguridad de ExVul ofrecieron recomendaciones concretas para prevenir futuros incidentes similares: «Los puentes deben vincular cada efecto de transferencia downstream con datos de payload autenticados antes de la ejecución».

Asimismo, recomendaron «agregar validación estricta de payload-a-ejecución, defensa en profundidad alrededor de la verificación de pruebas y pausar flujos de salida cuando se detecten importaciones anómalas».

Antecedentes y ataques similares

El paralelismo histórico trazado por Blockaid entre este exploit y los de Nomad y Wormhole subraya la persistencia de vulnerabilidades en los puentes blockchain, que continúan siendo uno de los blancos preferidos de los atacantes en el ecosistema DeFi.

En el contexto de 2026, este ataque se suma a una serie de exploits que en el primer trimestre ya acumulaban 168.6 millones de dólares en pérdidas. Los ataques notables de abril de 2026 incluyen los incidentes de Drift Protocol, con 280 millones de dólares a principios de mes, y Kelp, con 292 millones de dólares.

El exploit de THORChain, confirmado el sábado anterior por un valor de 10 millones de dólares, completa un panorama en el que los protocolos DeFi enfrentan una presión creciente por parte de los ciberdelincuentes, que parecen haber perfeccionado sus métodos para explotar vulnerabilidades en la infraestructura de puentes entre blockchains.