La explotación del puente Verus Ethereum drena 11,6 millones de dólares y detiene nodos mientras se preparan las correcciones

La explotación del puente Verus Ethereum se está convirtiendo rápidamente en uno de los incidentes de seguridad en criptomonedas más observados de la semana, después de que aproximadamente 11,6 millones de dólares en activos fueran drenados y luego consolidado en ETH. Lo que comenzó como una alerta de firmas de seguridad en cadena el domingo por la noche pronto se amplió a una pregunta más amplia sobre cómo otro sistema de cadena cruzada pudo haber fallado en un paso básico de verificación.

Las pérdidas no fueron menores ni abstractas. PeckShield dijo que el puente perdió 103,6 tBTC, 1.625 ETH y 147.000 USDC, una mezcla de activos que indica que se retiraron reservas significativas del puente en un corto período. El atacante luego intercambió las criptomonedas robadas por aproximadamente 5.402 ETH, afinando el control del botín en un solo activo principal.

Al mismo tiempo, las consecuencias operativas se extendieron más allá del propio puente. Verus dijo en su canal de Discord que la red Verus se detuvo después de que la mayoría de los nodos generadores de bloques se desconectaran en respuesta a los productos secundarios del ataque. Los desarrolladores ahora están investigando cómo funcionó la explotación, sin que se haya publicado aún un informe completo de la causa.

Qué sucedió con el puente Verus-Ethereum

Los hechos principales son claros: el puente Verus-Ethereum sufrió una explotación en curso que drenó aproximadamente 11,6 millones de dólares en activos criptográficos.

El desglose de PeckShield proporcionó la imagen pública más clara de la pérdida, reportando que el puente perdió 103,6 tBTC, 1.625 ETH y 147.000 USDC.

Eso importa porque las explotaciones de puentes afectan uno de los puntos más sensibles de DeFi: la infraestructura que mueve valor entre cadenas. Cuando un puente es comprometido, el daño puede propagarse rápidamente, afectando la liquidez, la confianza de los usuarios y las operaciones de la red simultáneamente.

En este caso, la explotación del puente Verus Ethereum también parece haber interrumpido la respuesta más amplia de la red Verus. Verus dijo que la mayoría de los nodos generadores de bloques se desconectaron, llevando a la red a detenerse mientras los equipos lidiaban con las secuelas.

Cómo los atacantes movieron los fondos

Blockaid dijo que detectó el ataque el domingo por la noche e identificó la billetera del atacante como 0x5aBb…D5777. Según la firma, los activos robados luego fueron movidos a otra billetera etiquetada como 0x65C…C25F9.

PeckShield dijo que el atacante intercambió posteriormente los fondos robados por aproximadamente 5.402 ETH, valorando en unos 11,4 a 11,6 millones de dólares en el momento del informe. Esa conversión es significativa para los investigadores y observadores del mercado, porque convertir múltiples activos robados en ETH puede simplificar la custodia y el movimiento posterior.

Hubo otro detalle que inmediatamente llamó la atención en los círculos de seguridad. PeckShield dijo que la billetera del atacante fue inicialmente financiada con 1 ETH a través de Tornado Cash unas 14 horas antes de la explotación.

Eso por sí solo no explica la explotación, pero añade un patrón familiar al incidente. En muchos casos de ataques en DeFi, una pequeña financiación inicial a través de herramientas de privacidad es una de las primeras pistas que los investigadores rastrean en cadena.

Por qué las firmas de seguridad creen que estuvo involucrada una falla de validación

Un análisis temprano apuntó a que no se trataba simplemente de un robo de clave privada, sino de una debilidad estructural en el puente.

Varias firmas de seguridad dijeron que el problema probable involucraba la validación de mensajes entre cadenas. GoPlus Security señaló una probable falla en la validación de mensajes entre cadenas, un bypass en la lógica de retiro o una debilidad en el control de acceso. En términos prácticos, eso sugiere que el puente pudo haber aceptado o procesado mensajes que debería haber rechazado.

Blockaid ofreció una explicación más concreta, diciendo que el problema parecía involucrar la falta de validación de la cantidad de origen en una función de verificación del puente. Ese detalle es importante. Si un puente no valida correctamente la cantidad de origen vinculada a un mensaje entre cadenas, un atacante puede activar transferencias desde reservas sin un depósito legítimo correspondiente en el lado de origen.

ExVul describió una teoría similar, diciendo que el atacante utilizó una carga útil de importación entre cadenas falsificada que pasó por el proceso de verificación del puente. Si esa hipótesis es correcta, la explotación encajaría en un patrón familiar y costoso en la seguridad de puentes DeFi: el puente no falla porque se robó una clave de firmante, sino porque la lógica que verifica lo que debe ser honrado entre cadenas es demasiado débil.

Esta es una de las razones por las que la explotación del puente Verus Ethereum está atrayendo mayor atención de lo que la cifra en dólares podría sugerir. Las fallas de validación tocan directamente el diseño del puente. Si las suposiciones de confianza o los caminos de verificación son frágiles, grandes pools de liquidez entre cadenas pueden estar expuestos incluso sin un compromiso clásico de billetera.

Qué puede significar una falla de validación entre cadenas

En los sistemas de puente, la validación entre cadenas es el paso que ayuda a confirmar que un mensaje o transferencia es legítimo antes de liberar los activos. Si ese paso falla, el puente puede actuar sobre datos que debería haber rechazado. Por eso, los equipos de seguridad se están enfocando en el camino de validación en lugar de una simple explicación de robo de billetera.

Por qué esto importa para la seguridad de los puentes DeFi

Los sistemas de puente se sitúan en un terreno intermedio de riesgo. Se supone que deben conectar redes separadas, verificar mensajes, mantener reservas y liberar activos solo cuando las condiciones sean correctas. Eso los hace útiles, pero también inusualmente expuestos.

El caso Verus refuerza una lección recurrente en la seguridad de puentes DeFi: la seguridad no se trata solo de proteger claves. También se trata de asegurarse de que las funciones de verificación, la lógica de importación y los controles de retiro no puedan ser engañados por datos malformados o falsificados.

Las firmas de seguridad se han centrado exactamente en esa clase de problema aquí. Las referencias repetidas a una falla en la validación entre cadenas, la validación de la cantidad de origen faltante y la posible debilidad en el control de acceso apuntan a un problema más amplio: si las reglas del puente para aceptar y ejecutar instrucciones entre cadenas son lo suficientemente fuertes.

Para los usuarios y constructores, esa es la parte que vale la pena vigilar. Un puente puede parecer operativo hasta que una suposición de validación se rompe.

Impacto en la red y qué sigue

Verus dijo que la red se detuvo después de que la mayoría de los nodos generadores de bloques se desconectaran mientras los equipos respondían a los productos secundarios del ataque. Eso lleva esta historia más allá de un incidente de contrato inteligente contenido y hacia una interrupción a nivel de red.

Los desarrolladores del proyecto están investigando cómo se llevó a cabo la explotación y qué pasos deben seguir a continuación. Hasta ahora, el equipo de Verus no ha publicado un informe completo de la causa.

Eso deja la siguiente fase centrada en la revisión técnica: cómo se bypassó el camino de verificación del puente, si la falla sospechada coincide con lo que han descrito las firmas de seguridad y qué cambios serán necesarios antes de que la confianza pueda volver. Por ahora, el ataque se mantiene como otro recordatorio de que en cripto, el punto más débil no suele ser el activo en sí, sino el código confiado para moverlo entre cadenas.