El mundo de las criptomonedas se despertó con una noticia que pocos esperaban. El hacker que explotó la semana pasada el puente de Verus ha devuelto los 4.052 ether que robó. Al cambio actual, son 8,5 millones de dólares. Lo ha hecho tras pactar una recompensa con el equipo del protocolo. Un desenlace que no es habitual en el ecosistema.
En las finanzas descentralizadas (DeFi), lo normal es que los ataques terminen con el dinero desaparecido y los usuarios perdiéndolo todo. Esta vez, el atacante optó por la vía de la negociación. Y el resultado ha sido positivo para Verus, un protocolo que opera puentes —esas piezas clave que permiten mover activos entre diferentes cadenas de bloques— y que evitó un daño mucho mayor.
El ataque al puente de Verus: lo que se sabe
Verus es un protocolo DeFi centrado en la interoperabilidad. Su puente permite transferir tokens entre varias redes, un servicio cada vez más demandado pero también más expuesto. A principios de mayo, un atacante aprovechó una vulnerabilidad —todavía sin detallar por el equipo— y drenó 4.052 ETH de los contratos inteligentes del puente. En cuestión de horas, la liquidez se esfumó.
Sin embargo, lo que vino después fue inusual. El atacante no se evaporó en la dark web ni intentó blanquear los fondos a través de mezcladores. Se puso en contacto con los desarrolladores y ofreció un trato: devolvería el dinero a cambio de una recompensa. Tras unas horas de tensa negociación, las dos partes llegaron a un acuerdo. El monto exacto de la recompensa no ha trascendido, pero en estos casos suele rondar el 10% del botín, una práctica habitual en el mundo de los bounties de ciberseguridad.
La devolución se confirmó este 23 de mayo, según fuentes cercanas al protocolo. Los 4.052 ETH volvieron a las carteras de Verus, evitando así una pérdida que habría dejado muy tocada la confianza de los inversores. El incidente, sin embargo, ya ha hecho mella en las estadísticas del año: las pérdidas por ataques a puentes DeFi ascienden ya a 328,6 millones de dólares en lo que va de 2026, según datos recopilados por CryptoRank.
Por qué los puentes DeFi siguen en el punto de mira
Los puentes han sido el eslabón más débil de las finanzas descentralizadas desde hace años. Basta recordar el ataque a Poly Network en 2021, donde un hacker se llevó 610 millones de dólares (aunque luego los devolvió casi en su totalidad), o el robo de 325 millones en Wormhole al año siguiente. En 2025, varios puentes menores acumularon pérdidas de decenas de millones, demostrando que el problema no se limita a los grandes nombres.
Este año, la tendencia no mejora. Los 328,6 millones perdidos hasta mayo superan ya el total de muchos ejercicios anteriores. Y el caso Verus demuestra que la estrategia del bounty puede funcionar, pero también que la prevención sigue fallando. De hecho, muchos protocolos ofrecen programas de recompensas para investigadores que encuentren fallos antes de que los exploten. Cuando el atacante ya ha robado, negociar se vuelve un último recurso.
El desenlace de este caso es, sin duda, el mejor posible dentro de la gravedad. Pero la realidad es tozuda: cada vez que un puente es hackeado, se rompe una promesa fundamental de la DeFi: que el código es ley y que el sistema no necesita intervención humana. Aquí, la intervención humana fue la que salvó los fondos.
Análisis: el dilema de la seguridad en los puentes
Que un protocolo tenga que sentarse a negociar con un atacante para recuperar sus propios fondos es un síntoma de fragilidad. Por muy aliviados que estén los usuarios de Verus, la verdad incómoda persiste: los puentes son el punto más caliente de la seguridad DeFi. Cada dólar depositado en un contrato puente es un dólar en riesgo, y los inversores empiezan a ser conscientes de ello.
El problema de fondo no es nuevo. La arquitectura de los puentes actuales acumula demasiado poder y liquidez en un único punto de fallo. Mientras no se generalicen soluciones como los rollups nativos con puentes embebidos o las pruebas de conocimiento cero (ZK) que eliminan intermediarios, el sector seguirá expuesto. El precedente más cercano fue el de Euler Finance en 2023, donde el hacker devolvió 197 millones de dólares tras negociar un bounty de 2 millones. La buena noticia es que equipos de desarrollo de todo el mundo trabajan a contrarreloj en en el ecosistema para cerrar esas brechas.
Desde esta redacción, creemos que la lección de Verus es doble. Por un lado, demuestra que un plan de contingencia con bounties puede evitar un desastre financiero y reputacional. Por otro, evidencia que la prevención sigue siendo la asignatura pendiente. 328,6 millones de dólares en lo que va de año no son una cifra asumible para un sector que aspira a sustituir a las finanzas tradicionales.
La pregunta que queda en el aire es cuántos protocolos están preparados para una llamada inesperada de un hacker dispuesto a pactar. Y, sobre todo, cuántos invertirán en auditorías más rigurosas para que esa llamada no llegue a producirse. Porque mientras los puentes sigan siendo necesarios, los ataques no van a desaparecer. La historia reciente de la DeFi está llena de finales felices y de desastres silenciosos. Solo nos queda esperar que el siguiente final feliz no se haga de rogar demasiado.
