El ecosistema cripto sufrió un nuevo revés: el puente que conecta a las redes Verus y Ethereum fue vulnerado el pasado 17 de mayo, cuando el atacante robó unos u$s11,58 millones, según reportó la firma de ciberseguridad on-chain Blockaid.
Por el momento, el equipo de Verus todavía no se pronunció de forma oficial, aunque los datos de la plataforma de análisis Arkham revelaron que la dirección asociada al atacante mantiene bajo su control unos u$s11,4 millones en Ethereum (ETH), tras haber convertido los diferentes activos extraídos de la plataforma.
De acuerdo con lo trascendido, estos son los fondos sustraídos:
Este ataque dejó al descubierto una vulnerabilidad crítica en la lógica del contrato inteligente del puente. Los investigadores de Blockaid explicaron que este funcionó correctamente a nivel de seguridad formal y criptográfica, ya que se verificaron tres elementos clave:
Sin embargo, el sistema ignoró una regla fundamental de los puentes cross-chain: no garantizó que cada activo emitido en el destino estuviera respaldado por un bloqueo o quema equivalente en la cadena de origen.
El contrato de Verus-Ethereum verificó la integridad del mensaje, pero nunca comprobó si los montos declarados (mediante funciones como totalAmounts, totalBurned o totalFees) tenían un respaldo económico real en la red de origen.
El atacante aprovechó esta brecha y ejecutó una jugada maestra de bajo costo: creó una transacción de apenas 0,02 VRSC (token nativo de Verus) y gastó unos u$s10 en comisiones.
En el campo de exportación, incluyó un hash de transferencias, pero declaró montos de origen vacíos. La red Verus aceptó la transacción y los notarios firmaron la raíz de estado sin detectar anomalías.
Al ejecutar la función submitImports en Ethereum, el contrato validó el hash, decodificó los datos y liberó los millones de dólares de sus reservas directamente al atacante.
Según Blockaid, solucionar este error en la función checkCCEValues del contrato apenas requeriría unas diez líneas de código en Solidity.
Por su parte, la firma de seguridad BlockSec Phalcon coincidió en que no existía un control intermedio que confirmara el respaldo económico antes de los pagos en Ethereum.
No obstante, desde la plataforma aclararon que el contrato desplegado no es de código abierto, por lo que el análisis se basa en la actividad on-chain y el repositorio público, el cual podría diferir de la implementación final.
Este incidente no es un hecho aislado: en lo que va de mayo de 2026, ya se registraron ocho exploits contra protocolos cross-chain, que acumularon pérdidas por u$s328,6 millones, según datos recopilados por PeckShield.