Verus: El puenteEthereum fue vaciado por 11,5 millones de dólares en una explotación de prueba falsificada

El 18 de mayo, un atacante sustrajo aproximadamente 11,5 millones de dólares del puente Verus-Ethereum utilizando una prueba Merkle falsificada. Este incidente se suma al creciente número de ataques a puentes entre cadenas, que ya han alcanzado los 328,6 millones de dólares solo en 2026.

El puente Verus-Ethereum es el último en sufrir una vulnerabilidad en un mes que parece haber retomado la actividad donde la dejó el mes de abril, que batió récords.

¿Cómo fue hackeado Verus? 

La empresa de seguridad blockchain PeckShieldAlert informó que el atacante extrajotractBTC, 1.625 ETH y 147.000 USDC deltrac, y luego intercambió los tokens robados por 5.402,4 ETH con un valor aproximado de 11,4 millones de dólares. 

Según PeckShieldAlert y Blockaid, quienes alertarondentsobre la vulnerabilidad, los fondos convertidos permanecen en una sola billetera con la dirección 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9.

Blockaid tambiéndentla cuenta externa del atacante y publicó el hash de la transacción del exploit.

¿Cómo funcionó la vulnerabilidad?

Blockaid compartió un hilo en X, afirmando que el ataque pertenecía a la misma clase de vulnerabilidad que dos de los hackeos de puentes más notorios del mundo de las criptomonedas: la brecha de Wormhole de 320 millones de dólares y el robo de Nomad de 190 millones de dólares, ambos ocurridos en 2022. 

EOA del atacante: 0x5aBb91B9c01A5Ed3aE762d32B236595B459D5777
Cartera del drenador (que aún conserva los fondos): 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9

Explotar tx: https://t.co/OqBh2alXGc
Contratotrac: https://t.co/EN3LkDfId9

— Blockaid (@blockaid_) 18 de mayo de 2026

Según Blockaid, el puente Verus verificó correctamente las raíces de estado notariadas, incluidas las firmas criptográficamente válidas de 8 de los 15 notarios. Sin embargo, la vulnerabilidad radicaba en lo que el puente no comprobó más allá de ese paso de verificación. 

Cos, fundador de la empresa de seguridad blockchain SlowMist y conocido como @evilcos en X, declaró: «La causa del ataque podría ser que el atacante falsificó una prueba Merkle que superó la verificación del Ethereum (que no es de código abierto), lo que le permitió retirar los fondos (ETH/tBTC/USDC) sin problemas». Cos añadió que «es necesario verificar más detalles específicos».

Verus lanzó un parche de emergencia apenas dos días antes del hackeo

Según CoinXtreme, Verus había lanzado una actualización de emergencia que denominó "urgente y obligatoria", la versión 1.2.14-2, tan solo dos días antes de que se produjera la vulnerabilidad. 

La actualización se describió como una solución para una vulnerabilidad; sin embargo, aún no está claro si el problema corregido y la vulnerabilidad explotada están relacionados, ya que Verus no ha comentado públicamente sobre eldent hasta el momento de la publicación de este informe.

Las ganancias obtenidas por la explotación de puentes superan los 328 millones de dólares este año

ocho grandes robos relacionados con puentes , siendo el del puente Verus el más reciente. Las pérdidas acumuladas ascienden a unos 328,6 millones de dólares. 

Esto se suma a lo que ahora se considera un patrón que ha afectado a la infraestructura entre cadenas desde que puentes como Wormhole y Nomad sufrieron importantes vulnerabilidades hace cuatro años.

Los críticos siguen señalando que los puentes de seguridad siguen siendo objetivos de alto valor porque custodian grandes cantidades de activos bloqueados, y un solo fallo de verificación puede desbloquear todo el conjunto.

El DeFi ha estado bajo constante ataque, con incidentes a gran y pequeña escala que se extendieron desde abril hasta mayo. Cryptoplitan informó sobre vulnerabilidades destacadas ocurridas en mayo, incluyendo ataques contra Ink Finance y Renegade que costaron un total de 349.000 dólares, y una brecha de seguridad en la clave privada de Syndicate Labs que provocó la pérdida de 18,5 millones de tokens SYND.

VRSC, el token nativo de la red Verus, cotizaba a aproximadamente 0,75 dólares con una capitalización de mercado de más de 60 millones de dólares en el momento de la vulnerabilidad, según datos de CoinMarketCap.

Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.