El DeFi de mayo no está tranquilo! La puente cruzada de Verus fue hackeada por 11.58 millones de dólares, y los incidentes de ataque este mes aumentaron a 13.

La red blockchain centrada en la privacidad y descentralización Verus, cuyo puente entre Ethereum está siendo atacado por hackers, ha perdido aproximadamente 11.580.000 dólares. Antes del incidente en Verus, en mayo ya fueron atacados 12 proyectos DeFi.

Se reporta que el puente entre Ethereum de Verus ha sido hackeado, con pérdidas superiores a 11.58 millones de dólares

La red blockchain centrada en la privacidad y descentralización Verus, cuyo puente entre Ethereum está siendo atacado por hackers, aún no ha emitido respuesta pública o a los medios.

Según investigaciones de las empresas de ciberseguridad Pax Shield y Blockaid, los datos en la cadena muestran que los atacantes drenaron 103.6 tBTC, 1,625 ETH y 147,000 USDC del puente, y con todos estos activos robados, intercambiaron por 5,402 ETH.

Fuente de la imagen: Blockaid

La organización de seguridad GoPlus analizó además que los atacantes probablemente enviaron transacciones de bajo valor al contrato del puente, y llamaron a funciones específicas para que el contrato transfiriera en masa los activos de reserva a la cartera del hacker. Este incidente probablemente fue causado por falsificación de verificación de mensajes entre cadenas, eludir la lógica de retiro o vulnerabilidades en el control de acceso.

El fundador de SlowMist, Yu Cian, también señaló que, la causa del robo podría ser que los atacantes crearon una prueba Merkle falsificada que pasó la verificación del puente Ethereum de Verus (que no es de código abierto), permitiéndoles retirar con éxito los fondos (ETH/tBTC/USDC). Los detalles específicos aún deben ser verificados.

Fuente de la imagen: Yu Cian

Además, la dirección del atacante, aproximadamente 14 horas antes de iniciar el ataque, transfirió 1 ETH a través del mezclador Tornado Cash como fondos iniciales. Hasta ahora, el equipo oficial de Verus no ha emitido ninguna declaración pública sobre este incidente.

Caso Verus, ocurrido tres días después del incidente en THORChain

El momento del ataque al puente de Verus coincidió con el de otro conocido protocolo de liquidez entre cadenas, THORChain, que fue hackeado tres días antes.

Según reportes de “Crypto City”, THORChain confirmó el 15 de mayo que fue víctima de un hackeo, con pérdidas aproximadas de 10.8 millones de dólares. Tras detectar transacciones anómalas, la plataforma suspendió urgentemente las transacciones y algunas funciones entre cadenas, y colaboró con equipos de seguridad para investigar.

Las investigaciones preliminares sugieren que los hackers probablemente aprovecharon una vulnerabilidad en el mecanismo de firma múltiple GG20 TSS y en nodos maliciosos, aunque las billeteras de los usuarios comunes no fueron afectadas. Las pérdidas se concentraron principalmente en la liquidez del protocolo y en los fondos internos.

Los hackers de DeFi están apuntando ahora a la capa de infraestructura, aumentando la discreción y el potencial destructivo

Este año, DeFi ha sido turbulento. Según datos de DeFiLlama, antes del incidente de Verus, en mayo de 2026, ya había 12 protocolos DeFi atacados, con pérdidas totales que superaron los 20 millones de dólares en ese mes, incluyendo Verus, sumando 13 en total, con pérdidas que alcanzaron decenas de millones de dólares.

Varios ataques recientes muestran que los atacantes han cambiado su objetivo, dejando de buscar vulnerabilidades en contratos inteligentes para centrarse en ataques a capas más profundas de infraestructura.

El riesgo de los protocolos entre cadenas es mucho mayor que el de DeFi en cadenas únicas, ya que su arquitectura involucra sincronización de información entre cadenas, nodos de verificación, enrutamiento de activos y firmas múltiples, entre otros componentes complejos.

Actualmente, los ataques a la capa de infraestructura incluyen llamadas a procedimientos remotos (RPC), redes de validación, oráculos y sistemas de información entre cadenas. Este tipo de ataques son más difíciles de detectar y, si tienen éxito, pueden afectar y transferir grandes cantidades de fondos de manera directa.

Por ejemplo, en el incidente de KelpDAO a principios de 2026, ese protocolo perdió hasta 292 millones de dólares en poco tiempo. El informe posterior de LayerZero señaló que el problema principal residía en que la configuración entre cadenas de KelpDAO utilizaba un modelo de un solo validador.

Fuente de la imagen: KelpDAO Incidente de KelpDAO a principios de 2026, con pérdidas de hasta 292 millones de dólares

Los hackers, mediante la contaminación de RPC, alteraron el estado en la cadena de algunos nodos, lo que llevó a que los validadores interpretaran incorrectamente la información, logrando falsificar datos entre cadenas y evadir las verificaciones de seguridad. El cofundador de LayerZero admitió públicamente que el diseño del protocolo tenía fallas y se comprometió a asumir la responsabilidad.

• Informe detallado:** LayerZero reconoce su error de diseño: análisis de las vulnerabilidades que permitieron el hackeo de KelpDAO por 2.9 mil millones de dólares**

La crisis puede convertirse en una oportunidad, y DeFi entra en una fase de revisión

El año 2026 ha sido sin duda un año turbulento para DeFi, pero estos frecuentes incidentes de seguridad también impulsan la reflexión y el crecimiento del sector.

Muchas plataformas que promueven la descentralización en sistemas entre cadenas, en realidad, dependen en gran medida de unos pocos nodos de validación o infraestructura de retransmisión. Si un solo nodo de validación se ve comprometido, los atacantes pueden falsificar información entre cadenas y crear o transferir activos de manera fraudulenta.

A medida que el volumen de fondos en cadena crece, los hackers invierten más recursos en investigar vulnerabilidades en la arquitectura entre cadenas, elevando la dificultad y el potencial de destrucción de los ataques a la infraestructura.

El futuro de DeFi probablemente se desplazará de una búsqueda de innovación rápida a un enfoque más seguro y estable. Componentes como arquitecturas modulares, aislamiento de permisos, monitoreo de riesgos en tiempo real y sistemas de verificación en múltiples capas serán clave en la próxima fase de desarrollo de la infraestructura. A medida que los protocolos entre cadenas se conviertan en pilares del finanzas descentralizadas, la demanda de estabilidad y seguridad será aún mayor.

Al mismo tiempo, la disposición de los grandes protocolos a admitir públicamente fallas en su diseño refleja que la industria Web3 está desarrollando una cultura de responsabilidad más madura. Después del incidente de KelpDAO, la industria rápidamente reunió 300 millones de dólares para rescatar las deudas incobrables, demostrando la resiliencia del ecosistema de Ethereum.

Lecturas complementarias:
DeFi es demasiado lento para los jóvenes, demasiado peligroso para los viejos: ¿Estamos todos apostando a los intereses de bonos públicos y asumiendo riesgos con bonos basura?

¡Rescatando las deudas incobrables de DeFi! Giants como Aave reúnen rápidamente 300 millones de dólares, mostrando la colaboración en el ecosistema de Ethereum