Puente Ethereum de Verus explotado por 11,6 millones de dólares mediante un mensaje de transferencia falso

El puente de Ethereum de Verus Protocol fue explotado el lunes mediante un mensaje falso de transferencia entre cadenas, lo que permitió que un atacante transfiriera fraudulentamente al menos 11,58 millones de dólares en criptomonedas. La plataforma de seguridad onchain Blockaid identificó la explotación en curso y documentó una transacción que muestra una transferencia de 1.625 Ether (ETH), 147.659 USDC y 103,57 tBTC v2, con un valor de más de 11,5 millones de dólares. Los fondos robados desde entonces se convirtieron en Ether, y la billetera del atacante mantiene un saldo de 5.402 Ether, con un valor aproximado de 11,4 millones de dólares según Etherscan. La empresa de seguridad blockchain PeckShield confirmó la transferencia como una explotación. El incidente refleja una tendencia más amplia de vulnerabilidades en DeFi: los piratas informáticos cripto robaron más de 168,6 millones de dólares de 34 protocolos de finanzas descentralizadas en el primer trimestre de 2026, y abril marcó dos de los mayores ataques del año: la explotación de 280 millones de dólares de Drift Protocol y la explotación de 292 millones de dólares de Kelp.

## Detalles de la explotación

El sistema de detección de Blockaid identificó la explotación el lunes y compartió datos de la transacción en Etherscan. Los activos robados incluían 1.625 ETH, 147.659 USDC y 103,57 tBTC v2. PeckShield confirmó la transferencia como una explotación, y los datos onchain muestran que los fondos se convirtieron en 5.402 Ether en la billetera del atacante.

## Análisis técnico

Blockaid indicó que el incidente de Verus Protocol se parece a las explotaciones del puente Nomad, de 190 millones de dólares, y de Wormhole, de 325 millones de dólares, de 2022. El atacante explotó el puente al engañar al protocolo para que creyera que las instrucciones de transferencia eran reales, lo que hizo que el puente enviara fondos desde sus reservas a la billetera del atacante.

Blockaid identificó la causa raíz como una validación faltante de cantidad de origen en checkCCEValues, que requiere aproximadamente 10 líneas de código Solidity para corregir. La firma de seguridad subrayó que esto fue "NO un bypass de ECDSA. NO una compilación de clave de notario. NO un bug de parser/hash-binding".

El proveedor de seguridad blockchain ExVul llegó a una conclusión similar, afirmando que el atacante usó una "carga útil falsificada de importación entre cadenas" que pasó el "flujo de verificación del puente" y dio como resultado "tres transferencias adjuntadas por el atacante a la billetera drenadora".

## Recomendaciones de seguridad

ExVul recomendó que "las pruebas de importación entre cadenas deben vincular cada efecto de transferencia aguas abajo a datos de carga útil autenticados antes de la ejecución". El proveedor de seguridad aconsejó a los puentes "agregar una validación estricta de carga útil a ejecución, defensa en profundidad alrededor de la verificación de pruebas y pausar los flujos de salida cuando se detecten importaciones anómalas".

## Incidentes relacionados

La explotación de Verus sigue a la confirmación de THORChain del sábado de que sufrió una explotación de 10 millones de dólares. El incidente forma parte de un patrón en escalada de ataques DeFi en 2026.