El puente de Ethereum de Verus Protocol habría sido vulnerado el lunes a través de un mensaje falso de transferencia entre cadenas que permitió a un hacker transferir fraudulentamente al menos 11,58 millones de dólares en criptomonedas.
La plataforma de seguridad on-chain, Blockaid, declaró en una publicación de X el lunes que su sistema de detección identificó un exploit en proceso en el puente Verus-Ethereum y compartió una transacción en Etherscan que mostraba una transferencia de 1.625 Ether (ETH), 147.659 USDC (USDC) y 103,57 tBTC v2, con un valor de más de 11,5 millones de dólares.
La empresa de seguridad blockchain, PeckShield, también calificó la transferencia como un exploit, con datos on-chain que muestran que los fondos se han convertido desde entonces en Ether. La billetera muestra un saldo de 5.402 ETH, con un valor de más de 11,4 millones de dólares, según Etherscan.
Cointelegraph se puso en contacto con Verus para obtener comentarios. Al momento de redacción, el protocolo no había confirmado públicamente el incidente de seguridad.
Fuente: Blockaid
Hackers de criptomonedas robaron más de 168,6 millones de dólares en criptomonedas de 34 protocolos de finanzas descentralizadas (DeFi) en el primer trimestre de 2026. Abril registró los dos mayores hackeos del año hasta el momento: el exploit de 280 millones de dólares del protocolo Drift a principios de mes y el exploit de 292 millones de dólares de Kelp.
Instrucciones de transferencia fraudulentas probablemente causaron el exploit
Blockaid declaró que el incidente de Verus Protocol se asemeja al exploit de 190 millones de dólares del puente Nomad y al exploit de 325 millones de dólares de Wormhole de 2022.
El atacante vulneró el puente Verus-Ethereum engañando al protocolo para que creyera que las instrucciones de transferencia eran reales, haciendo que el puente enviara fondos de sus reservas a su billetera, declaró Blockaid.
“NO es un bypass de ECDSA. NO es una clave de notario comprometida. NO es un error de parser/hash-binding. ES una validación de cantidad de origen faltante en checkCCEValues - ~10 líneas de Solidity para corregir”, añadió.
El proveedor de seguridad blockchain, ExVul, llegó a una conclusión similar y declaró que el atacante utilizó una “carga útil de importación entre cadenas forjada” que pasó el “flujo de verificación del puente” y resultó en “tres transferencias adjuntas del atacante a la billetera del atacante”.
“Las pruebas de importación entre cadenas deben vincular cada efecto de transferencia descendente a los datos de carga útil autenticados antes de la ejecución”, dijo el proveedor de seguridad blockchain, añadiendo que “los puentes deberían añadir una validación estricta de carga útil a ejecución, una defensa en profundidad en torno a la verificación de pruebas y pausar los flujos de salida cuando se detecten importaciones anómalas”.
El incidente ocurre luego que THORChain confirmara el sábado que sufrió un exploit de 10 millones de dólares.
