Un atacante vinculado al exploit del puente Verus-Ethereum del 18 de mayo devolvió 4.052,4 ETH —aproximadamente 8,5 millones de dólares— a la cartera del proyecto el jueves, conservando 1.350 ETH, unos 2,8 millones de dólares, como recompensa dentro del marco de acuerdo propuesto por los principales colaboradores de Verus. La firma de seguridad blockchain PeckShield, citando datos onchain, señaló que la cantidad devuelta representa el 75% de los activos drenados, mientras que la recompensa fue trasladada por el atacante a una nueva dirección de cartera.
La transferencia se produjo horas después de que el equipo de Verus detallara públicamente los términos en una publicación del jueves en X, indicando al atacante que la devolución de 4.052,4 ETH en un plazo de 24 horas llevaría a la comunidad a detener las investigaciones en curso, renunciar a presentar cargos y no emprender acciones extrajudiciales. El equipo afirmó que también emitiría un reconocimiento público haciendo referencia a los 1.350 ETH retenidos como recompensa. Verus no había confirmado formalmente la recepción de los fondos al cierre de esta edición.
Por qué importa
El puente Verus-Ethereum fue comprometido el 18 de mayo a las 23:55 UTC, según un anuncio del equipo en Discord. Blockaid estimó las pérdidas totales en 11,58 millones de dólares, mientras que PeckShield reportó que del puente se drenaron 103,6 tBTC, 1.625 ETH y 147.000 USDC —activos que el atacante posteriormente canjeó por 5.402 ETH valorados en unos 11,4 millones de dólares. El reparto 75/25 fija efectivamente la tolerancia del protocolo en aproximadamente 2,8 millones de dólares y su voluntad de cerrar el incidente con rapidez, aunque deja al atacante con una recompensa reconocida públicamente que funciona a la vez como beneficio y como exención de responsabilidad.
Impacto en el mercado
Los exploits de puentes siguen siendo un riesgo estructural persistente para la liquidez cross-chain, y la devolución negociada en lugar de una recuperación firme —mediante intervención white-hat o rollback de validadores— pone de relieve lo poco capitalizados que están los protocolos comunitarios sin respaldo de capital riesgo, que deben autofinanciar la respuesta a incidentes. Verus ha indicado que su foco tras el exploit es reforzar el puente, realizar auditorías adicionales y desarrollar un plan comunitario para hacer frente a las pérdidas. La lectura más duradera del resultado de hoy será si esos 2,8 millones de dólares de recompensa se convierten en un punto de referencia para futuros atacantes que negocien con equipos con recursos limitados.
Preguntas frecuentes
-
¿Qué ocurrió en el exploit del puente de Verus?
El puente Verus-Ethereum fue comprometido el 18 de mayo a las 23:55 UTC. Blockaid estimó las pérdidas en 11,58 millones de dólares, mientras que PeckShield rastreó el drenaje hasta 103,6 tBTC, 1.625 ETH y 147.000 USDC, posteriormente canjeados por unos 5.402 ETH.
-
¿Cuánto devolvió el atacante y cuánto retuvo?
El atacante devolvió 4.052,4 ETH, unos 8,5 millones de dólares, lo que representa el 75% de los activos drenados. Retuvo 1.350 ETH, alrededor de 2,8 millones de dólares, como recompensa dentro del marco de acuerdo propuesto por el equipo de Verus.
-
¿Qué ofreció el equipo de Verus al atacante a cambio?
En una publicación del jueves en X, Verus ofreció detener las investigaciones en curso, renunciar a presentar cargos y no emprender acciones extrajudiciales si se devolvían 4.052,4 ETH en un plazo de 24 horas. El equipo también prometió un reconocimiento público que nombraría los 1.350 ETH retenidos como recompensa.
-
¿Ha confirmado Verus la recepción de los fondos devueltos?
Al cierre de esta edición, el equipo de Verus no había confirmado formalmente la recepción de los 4.052,4 ETH devueltos. El atacante ya trasladó la recompensa retenida a una nueva dirección de cartera.
-
¿Qué está haciendo Verus para asegurar el puente en adelante?
Tras el exploit, Verus indicó que su foco es reforzar el puente frente a vulnerabilidades, realizar auditorías adicionales y desarrollar un plan comunitario para abordar las pérdidas de fondos —sin respaldo de capital riesgo.