El puente Verus-Ethereum pierde $11.5 millones tras el ataque que intercambió todos los fondos a ETH

Otro puente entre cadenas ha sido drenado. El puente Verus-Ethereum perdió aproximadamente $11.58 millones. El 17 y 18 de mayo de 2026, en un exploit que fue señalado por primera vez por el sistema de detección en tiempo real de Blockaid y confirmado por PeckShield. El atacante drenó 103.6 tBTC, 1,625 ETH y 147,000 USDC de las reservas del puente. Todos los fondos robados fueron inmediatamente intercambiados por 5,402.4 ETH. Esto equivale a aproximadamente $11.4 millones y se consolidó en una única dirección de billetera. El financiamiento inicial del atacante provino de Tornado Cash aproximadamente 14 horas antes del drenaje. Las noticias sobre hackeos cripto en 2026 siguen volviendo a la misma clase de vulnerabilidades. Y el exploit del puente Verus-Ethereum es su ejemplo más claro hasta ahora.

Cómo $10 se convirtieron en $11.5 millones

La causa raíz técnica es lo que hace que este ataque sea particularmente alarmante. El análisis de Blockaid confirmó que no se trataba de una violación de clave. No hubo un bypass de firma. No hubo colisión de hash. El puente verificó todo lo que estaba diseñado para verificar. Notarizó las raíces de estado de Verus, las pruebas de Merkle y los compromisos de hash. Simplemente nunca verificó si la transacción de la cadena de origen realmente respaldaba los pagos con valor real.

🔎 Drenaje de $11.58M del puente Verus-Ethereum – Causa raíz sospechosa

La misma clase que Wormhole-2022 / Nomad-2022: brecha de vinculación de valor económico entre origen ↔ destino.

Lo que el puente verifica correctamente:
✓ Raíz de estado notarizada de Verus (8/15 firmas de notarios válidas, todas criptográficamente sólidas)
✓…

— Blockaid (@blockaid_) 18 de mayo de 2026

El atacante construyó una transacción gastando aproximadamente $10 en tarifas de VRSC. Esa transacción se comprometió a un blob de pago con totales vacíos del lado de origen. Sin valor real bloqueado en el lado del puente Verus-Ethereum. El protocolo Verus aceptó la transacción como legítima. Ocho de quince notarios firmaron criptográficamente la raíz de estado resultante. El atacante luego envió esa prueba firmada al contrato del puente de Ethereum a través de submitImports().

El puente verificó la prueba. Decodificó el blob y pagó $11.58 millones de sus reservas. Blockaid describió la solución con sorprendente simplicidad. Aproximadamente diez líneas de Solidity en la función checkCCEValues. Eso habría prevenido todo el ataque al validar que los totales de exportación de la cadena de origen realmente respaldaban los pagos solicitados.

Un patrón familiar

Las noticias de Ethereum de la era de puentes de 2022 se están repitiendo. Blockaid comparó directamente este exploit con los hackeos de los puentes Wormhole y Nomad. Ambos explotaron brechas de vinculación de valor económico entre origen y destino en lugar de fallos criptográficos. El exploit del puente Verus-Ethereum sigue la misma arquitectura: pruebas válidas, economía inválida, pago catastrófico. La dirección EOA del atacante 0x5aBb…D5777 inició la transacción de exploit. La billetera drenadora 0x65Cb…C25F9 actualmente mantiene los ingresos consolidados de ETH. Ambas direcciones son rastreables públicamente en Etherscan.

Lo que esto significa para inversores y desarrolladores

Para los seguidores de noticias sobre hackeos cripto y usuarios de puentes, el exploit del puente Verus-Ethereum refuerza una lección crítica. La validez criptográfica y la validez económica no son lo mismo. Un puente puede verificar correctamente cada firma y aún así pagar fondos que nunca fueron depositados. Para los desarrolladores de Ethereum que construyen infraestructura entre cadenas, el análisis de causa raíz de Blockaid es lectura obligatoria. 

Cada implementación de puente necesita una validación explícita de que el valor bloqueado en la cadena de origen coincide con los montos de pago en la cadena de destino, independientemente de la verificación de prueba. Esto se debe a que la corrección de la prueba garantiza que el mensaje es auténtico, pero no garantiza que la economía sea sólida. En otras palabras, una prueba válida no significa automáticamente que una transacción sea válida. En última instancia, esa brecha de seguridad específica le costó al puente Verus-Ethereum $11.5 millones.