Dentro del hack de $11,6M al puente Verus–Ethereum

Entre los activos sustraídos se encontraban:

• 103,6 tBTC
• 1.625 ETH
• aproximadamente 147.000 USDC

En total, el botín ascendió a unos $11,58 millones en el momento del ataque. Posteriormente, el atacante intercambió esos tokens y consolidó el valor en alrededor de 5.402 ETH, simplificando el control de los fondos robados.

Empresas de seguridad blockchain como Blockaid y PeckShield detectaron la actividad sospechosa mientras ocurría y alertaron a los usuarios para evitar interactuar con el puente.

La vulnerabilidad clave: un campo crítico que nadie comprobó

Las investigaciones posteriores apuntaron a un problema en la lógica de verificación entre cadenas del puente.

Ambos lados del sistema —Verus y Ethereum— realizaban varias comprobaciones de autenticidad del mensaje, como pruebas criptográficas y estructura del payload. Sin embargo, ninguno verificaba un dato esencial: que la cantidad depositada en la cadena de origen coincidiera con la cantidad retirada en Ethereum.

En la práctica esto significaba que:

• El mensaje cross‑chain podía pasar las verificaciones de autenticidad.
• Pero no se comprobaba si el depósito real respaldaba el monto reclamado.

Ese pequeño vacío lógico permitió al atacante crear un mensaje que solicitaba una retirada mayor que el depósito real. Investigadores señalaron que el fallo era mínimo pero crítico, y que podría haberse corregido con apenas unas líneas adicionales de código en Solidity.

Cabe destacar que el exploit no implicó robo de claves privadas ni ruptura de la criptografía del sistema. Fue simplemente un error de validación en el código del puente.

Cuánto se robó — y cuánto se recuperó

El ataque drenó inicialmente unos $11,58 millones del puente.

Poco después, el equipo de Verus propuso públicamente un acuerdo: si el atacante devolvía la mayor parte de los fondos en un plazo determinado, podría quedarse con una parte como recompensa.

El resultado final fue el siguiente:

• 4.052,4 ETH devueltos al equipo de Verus (unos $8,5 millones)
• 1.350 ETH retenidos por el atacante como recompensa (unos $2,8 millones)

En total, el protocolo recuperó alrededor del 75% de los fondos robados gracias a esta negociación.

Por qué los proyectos DeFi negocian con hackers

Aunque pueda parecer extraño, este tipo de acuerdos se ha vuelto relativamente común en el ecosistema DeFi.

Cuando los fondos robados permanecen visibles en la blockchain —y por tanto rastreables— los equipos a veces optan por ofrecer recompensas tipo “white‑hat bounty” para incentivar la devolución parcial del dinero en lugar de arriesgarse a perderlo todo.

Estas negociaciones suelen implicar:

• mensajes públicos o transacciones en cadena dirigidas al atacante
• ofertas de recompensa si los fondos se devuelven
• plazos claros para aceptar el acuerdo

Según revisiones de incidentes de seguridad, en 2024 se registraron más de 200 exploits en DeFi, y cerca de $220 millones fueron recuperados mediante acciones white‑hat o acuerdos con atacantes, lo que representa aproximadamente una tasa de recuperación del 15%.

Por qué los puentes cross‑chain siguen siendo un objetivo

El caso de Verus también ilustra por qué los puentes siguen siendo uno de los puntos más vulnerables de la infraestructura cripto.

Estos sistemas deben verificar que un evento ocurrido en una blockchain es válido antes de ejecutar una transacción en otra, algo técnicamente complejo. Un pequeño error en esa verificación puede permitir que un atacante retire activos sin que exista un depósito real que los respalde.

Las cifras reflejan el problema: para mayo de 2026 ya se habían registrado ocho hacks relacionados con puentes, con pérdidas combinadas de unos $328,6 millones.

La lección principal

El exploit del puente Verus–Ethereum demuestra cómo un simple descuido en la validación de datos puede abrir la puerta a ataques multimillonarios. Bastó con que faltara una comprobación crítica para que un mensaje falsificado activara pagos reales.

Al mismo tiempo, el desenlace muestra otra tendencia del ecosistema DeFi: cuando ocurre un exploit, las negociaciones con atacantes y las recompensas de recuperación se están convirtiendo en herramientas de emergencia cada vez más comunes mientras los equipos corrigen vulnerabilidades y tratan de recuperar la confianza de los usuarios.