Puente Verus-Ethereum pierde 11,5M en hackeo

El puente que conecta las redes Verus y Ethereum sufrió un ataque el pasado 17 de mayo que resultó en el drenaje de aproximadamente 11,58 millones de dólares, según informó la firma de ciberseguridad on-chain Blockaid. Los activos sustraídos incluyen 1.625 ethers (ETH), 103,6 tBTC (una versión de bitcoin envuelta) y 147.000 dólares en la stablecoin USDC. Al cierre de esta investigación, el equipo de Verus no ha emitido un comunicado oficial al respecto.

El atacante conservó la mayor parte del botín. Según datos de Arkham, la dirección asociada al hacker mantiene aproximadamente 11,4 millones de dólares en ether, convertidos tras la extracción.

El fallo: Validación criptográfica sin respaldo económico

Según el análisis de Blockaid, el contrato inteligente del puente realizaba correctamente tres verificaciones:

  1. La raíz de estado notariada de Verus (con ocho de quince firmas válidas).
  2. La prueba de Merkle de la exportación entre cadenas.
  3. Que el hash del paquete de transferencias coincidiera con el comprometido en la exportación.

Sin embargo, el sistema no verificaba si los montos declarados en esa exportación (en campos como totalAmounts, totalBurned, totalFees) estaban efectivamente respaldados por valor bloqueado o quemado en la cadena de origen. Un puente entre cadenas depende de que cada pago en el destino esté respaldado por una quema o bloqueo equivalente en el origen; el puente Verus-Ethereum verificaba la integridad formal del mensaje, pero no esta correspondencia económica.

Mecánica del ataque

El atacante construyó una transacción de solo 0,02 VRSC (el token nativo de Verus) con un coste aproximado de 10 dólares en comisiones. Esta transacción comprometía un hash de transferencias, pero declaraba montos de origen vacíos. La red Verus aceptó la transacción como válida y los notarios firmaron la raíz de estado resultante sin detectar anomalías.

Al invocar la función submitImports en Ethereum con el paquete serializado, el contrato verificó que el hash coincidía, decodificó el blob y liberó los fondos desde sus reservas. Blockaid señala que incorporar esa validación económica en la función checkCCEValues del contrato habría requerido aproximadamente diez líneas de código en Solidity.

BlockSec Phalcon, otra firma de seguridad, confirmó que entre la verificación del mensaje y la ejecución de los pagos en Ethereum no existía un control que confirmara si el respaldo económico era suficiente.

Contexto de los ataques a puentes

Desde mediados de mayo de 2026, ocho exploits contra protocolos de intercambio entre cadenas han acumulado pérdidas por 328,6 millones de dólares, según analistas de PeckShield. Entre los incidentes recientes se cuentan los ataques a KelpDAO, LayerZero y Hyperbridge (entre Polkadot y Ethereum), además del hackeo a THORChain.

El ataque al puente Verus-Ethereum se suma a una lista de incidentes que comparten un patrón preocupante: contratos inteligentes que verifican la forma de los mensajes que reciben, pero fallan en verificar el valor que los respalda.

Comparte esta noticia, elige tu plataforma!

Leave A Comment