En cuatro días — 15, 18 y 19 de mayo de 2026 — tres puentes cross-chain cayeron. THORChain perdió US$ 10,8 millones. El bridge Verus-Ethereum, US$ 11,58 millones. El Echo Protocol vio a un atacante acuñar US$ 76,7 millones en bitcoin sintético de la nada. Sumados, es casi US$ 100 millones en riesgo en una única semana — y esto después de que KelpDAO sangrara alrededor de US$ 290 millones en abril, episodio que ON3X ya diseccionó en el mes en que el cross-chain sangró. La lectura perezosa es "otro hack de DeFi". La lectura que importa es otra: fueron tres bugs completamente diferentes, y ninguno de los tres estaba en el smart contract. El problema no es el código que audita la auditoría — es la confianza que la auditoría no puede leer.
THORChain (15 de mayo): el puente traicionado desde adentro
THORChain no fue invadido desde afuera. Fue traicionado por uno de sus propios validadores. El atacante financió un nodo malicioso a fines de abril, lavando el capital de entrada a través de una cadena Monero → Hyperliquid → Arbitrum → Ethereum, y esperó el proceso de churn de la red para admitir ese nodo en el conjunto activo de validadores. Dentro, explotó una falla en la implementación del esquema de firma por umbral GG20 — el mecanismo que reparte la clave de los cofres entre los validadores para que ninguno tenga el control solo. La técnica, de la clase conocida como TSSHOCK, consiste en filtrar gradualmente fragmentos del material de clave durante las rondas de keygen y firma, hasta reconstruir lo suficiente para firmar una salida ilícita.
El resultado: 3.443 ETH (US$ 7,77 millones), 36,85 BTC (US$ 2,97 millones) y más BNB y activos en Base, totalizando US$ 10,8 millones drenados de los cofres Asgard. El investigador ZachXBT señaló los flujos anómalos a las 09h45 UTC del 15 de mayo; aproximadamente 43 minutos antes del robo, una transferencia de clave ya conectaba carteras previas al ataque con la dirección del atacante. El protocolo entró en pausa total vía módulo de gobernanza Mimir por aproximadamente 13 horas, activó las firmas forenses THORSec y Outrider Analytics, y planificó el slashing del bond del nodo malicioso. RUNE cayó de 12% a 15% en las primeras 24 horas, evaporando aproximadamente US$ 27 millones en capitalización. Chainalysis rastreó la infraestructura, pero no identificó públicamente al operador — y, como vimos en el caso Drift, donde el atacante pasó seis meses adentro, la paciencia operacional de financiar e infiltrar un validador semanas antes es firma de actor estatal, no de oportunista.
Verus-Ethereum (18 de mayo): el puente que no verificaba la cuenta
Si THORChain cayó por exceso de confianza en quién estaba adentro, Verus cayó por no verificar lo que venía de afuera. El bridge Verus-Ethereum validaba casi todo — autenticidad de la prueba, formato del bloque, integridad del blob de transferencia — menos lo único que importaba: si el valor declarado en el lado Verus coincidía con el valor pagado en el lado Ethereum. La función checkCCEValues, en el contrato Ethereum, simplemente no cruzaba entrada y salida.
El atacante envió una transacción con aproximadamente US$ 0,01 en VRSC de entrada y construyó un blob desequilibrado que ordenaba el pago de US$ 11,58 millones en el otro lado — en 103,6 tBTC, 1.625 ETH y 147 mil USDC, posteriormente convertidos en 5.402,4 ETH. Como todos los otros campos eran válidos, el puente pagó. El costo operacional del exploit fue de aproximadamente US$ 10. La corrección, según análisis de seguridad, cabe en aproximadamente diez líneas de código. Blockaid fue directo al señalar que la raíz es la misma de los hacks de Wormhole y Nomad en 2022: validación de parámetro cross-chain incompleta. Cuatro años después, la industria reescribió el bug con otro nombre de protocolo. Es el mismo punto único de confianza fuera del alcance de la auditoría de contrato que ON3X mapeó al analizar cómo código que nadie revisa de verdad se convierte en puerta de entrada.
Echo Protocol (19 de mayo): el puente sin dueño de la clave
El tercer caso es el más didáctico precisamente porque el daño realizado fue pequeño — y eso prueba la tesis. Echo Protocol, plataforma de Bitcoin DeFi, tuvo su clave de administración comprometida en el deploy de la red Monad. El propio equipo confirmó: no fue bug de contrato, fue clave de admin. Con ella, el atacante acuñó 1.000 eBTC — bitcoin sintético — evaluados en US$ 76,7 millones, de la nada y sin respaldo.
Lo que vino después muestra la anatomía de monetización: depositó 45 eBTC como colateral en el protocolo de préstamo Curvance, tomó 11,29 WBTC prestados contra ese colateral falso, llevó el WBTC a Ethereum, convirtió en ETH y lavó aproximadamente 384 ETH (US$ 821 mil) vía Tornado Cash. El equipo recuperó el control, pausó las operaciones cross-chain y quemó los 955 eBTC restantes — conteniendo el daño realizado en alrededor de US$ 816 mil, una fracción de los US$ 76,7 millones nominales. Aquí está el punto: un bug de smart contract habría drenado todo antes de cualquier reacción. Una falla de clave fue grande en el papel, pero contenible porque dependía del tiempo de monetización. La diferencia entre US$ 76 millones y US$ 816 mil no fue la auditoría — fue la pausa manual. El vector de compromiso de clave de operador es el mismo que ON3X documentó cuando Lazarus pasó a vivir en el MacBook de ejecutivos cripto: no se quiebra la criptografía, se roba a quién la guarda.
El denominador común
Tres incidentes, tres causas-raíz que no tienen nada en común en el nivel técnico. THORChain cayó por una falla en el esquema de firma distribuida. Verus, por una verificación de igualdad que faltaba. Echo, por una clave que se filtró. Un pentester que auditara los tres smart contracts línea a línea no habría encontrado ninguno de los tres problemas — porque ninguno de los tres estaba en el smart contract. Estaba en la capa que la auditoría de contrato no cubre: la confianza.
Todo puente cross-chain es, en el fondo, una máquina de confianza. Necesita confiar que el conjunto de validadores no fue infiltrado (THORChain). Necesita confiar que la otra cadena dijo la verdad sobre cuánto entró (Verus). Necesita confiar que la clave que puede acuñar el activo está en las manos correctas (Echo). El contrato inteligente es solo la fachada determinística de un edificio cuya fundación es humana y operacional. Auditar la fachada y declarar el edificio seguro es teatro de seguridad — y es exactamente el teatro que se repite desde 2022. Wormhole y Nomad cayeron por validación de parámetro cross-chain incompleta ese año; Verus cayó por la misma clase de error en 2026. La industria no corrigió la clase arquitectónica — corrigió instancias, una de cada vez, siempre después del robo.
Los números confirman que esto es estructural, no anecdótico. Según PeckShield, 2026 ya acumula ocho grandes exploits de bridge, con aproximadamente US$ 328,6 millones exfiltrados de protocolos cross-chain — y el cluster de esta semana se suma a lo que ON3X ya había identificado como un patrón en KelpDAO, Volo y ZetaChain. El puente concentra valor de varias cadenas en un único cofre lógico y terceriza la integridad de ese cofre a validadores, oráculos, relayers y claves de admin — exactamente los componentes que quedan fuera del alcance de una auditoría de Solidity. Cuando el sector de DeFi decide qué hacer después del robo, repite también el mismo cartilla: pausa de emergencia, portal de recuperación, negociación con el atacante — el guión que ON3X destrincó cuando el DeFi decidió negociar en lugar de blindar. La respuesta ha madurado; la prevención, no.
La perspectiva ON3X
Tres lecturas para quién necesita ver más allá del "otro hack":
- La auditoría de smart contract se convirtió en un sello de calidad engañoso. Los tres protocolos de esta semana podrían exhibir reportes de auditoría impecables y aun así caer, porque el vector no estaba dentro del alcance auditado. Para el usuario, "contrato auditado" comunica una seguridad que no existe en la capa donde el dinero realmente se mueve. Mientras el mercado no exija auditoría de operación — gestión de claves, conjunto de validadores, validación cross-chain — el sello continúa midiendo la cosa equivocada.
- El caso Echo es la mejor noticia mala del año. US$ 76 millones acuñados, US$ 816 mil perdidos: la diferencia fue un equipo que tenía cómo pausar y quemar. Las fallas operacionales son contenibles porque dependen del tiempo de monetización; los bugs de contrato, no. Esto invierte la prioridad de defensa: capacidad de respuesta rápida (kill switch, pausa, monitoreo de acuñación anómala) protege más valor, hoy, que otra ronda de auditoría de código.
- El cluster es la métrica, no el incidente. Ver THORChain, Verus o Echo aisladamente lleva a la conclusión equivocada de mala suerte puntual. Ver los tres en cuatro días — sumados a los US$ 290 millones de KelpDAO y a los US$ 328,6 millones del año — revela una clase de riesgo sistémica que la interoperabilidad entre cadenas aún no sabe precificar. Mientras el puente sea el producto que concentra valor y terceriza confianza, el próximo nombre de protocolo ya está en la fila; solo que no sabemos cuál todavía.
Preguntas frecuentes
¿Qué tienen en común los hacks de THORChain, Verus y Echo?
Técnicamente, nada — fueron tres causas-raíz distintas (falla en el esquema de firma GG20, validación cross-chain ausente y clave de admin comprometida). El denominador común es arquitectónico: ninguno de los tres estaba en el smart contract. Todos explotaron la capa de confianza de los puentes cross-chain, que la auditoría de contrato no cubre.
¿Cuánto se robó en los tres incidentes de mayo de 2026?
THORChain perdió US$ 10,8 millones (15 de mayo) y el bridge Verus-Ethereum, US$ 11,58 millones (18 de mayo). En Echo Protocol (19 de mayo) el atacante acuñó US$ 76,7 millones en eBTC falso, pero el daño realizado fue contenido en aproximadamente US$ 816 mil después que el equipo pausara y quemara los tokens. En 2026, PeckShield contabiliza aproximadamente US$ 328,6 millones en ocho grandes exploits de bridge.
¿Por qué una auditoría de smart contract no habría evitado estos hacks?
Porque los vectores estaban fuera del alcance de una auditoría de código. Una auditoría revisa la lógica del contrato; no revisa si un validador fue infiltrado, si la otra cadena mintió sobre un valor o si una clave de administración se filtró. Estos son problemas de operación, no de Solidity.
¿El hack de Verus tiene relación con Wormhole y Nomad de 2022?
Sí, en la clase de error. Blockaid señaló que la raíz de la falla de Verus — validación de parámetro cross-chain incompleta — es la misma de los hacks de Wormhole y Nomad en 2022. La industria corrigió instancias individuales sin corregir la clase arquitectónica, y el patrón se repitió cuatro años después.
¿Qué significan estos incidentes para quién usa puentes cross-chain?
Que "contrato auditado" no equivale a "puente seguro". La seguridad real depende de gestión de claves, integridad del conjunto de validadores y validación cross-chain — componentes que el sello de auditoría generalmente no mide. Capacidad de respuesta rápida del protocolo (pausa de emergencia, monitoreo de acuñación anómala) hoy protege más valor que el reporte de auditoría por sí solo.