Tres exploits en cinco días. $23 millones desaparecidos. THORChain el 15 de mayo, Verus Bridge el 18, Echo Protocol el 19. El mes no ha terminado.
Informe de incidente de seguridad
- Protocolo THORChain
- Fondos sustraídos $10.800.000
- Chain BTC · ETH · BNB · Base
- Fecha 15 may 2026, 09:45 UTC
- RUNE -15% en pocos minutos
- Vector Vulnerabilidad en el GG20 TSS. Un nodo malicioso extrajo fragmentos de material criptográfico durante las ceremonias de firma, reconstruyendo con el tiempo la clave privada completa de un vault Asgard y firmando transacciones no autorizadas.
- Respuesta del protocolo Comando “make pause” en el bloque 26190429. Trading, swaps, acciones LP y firma suspendidos. Fondos de usuarios no comprometidos. THORSec, Chainalysis y fuerzas del orden involucrados.
Fuente: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15-16 mayo 2026
Fuente: TRM Labs, Chainalysis, ZachXBT, PeckShield · 15-16 mayo 2026
El 15 de mayo, a las 09:45 UTC, ZachXBT publicó una alerta en Telegram: flujos anómalos desde los vaults Asgard de THORChain, el principal exchange descentralizado cross-chain. Estimación inicial, según el propio ZachXBT: $7,4 millones. Todo detenido. Dos horas después el número había alcanzado $10,8 millones, el ataque había tocado Bitcoin, Ethereum, BNB Chain y Base de forma simultánea, y el token nativo RUNE había caído un 15%, de $0,58 a cerca de $0,50 en pocos minutos. El mecanismo de pausa automática funcionó, conteniendo el daño a uno solo de los seis vaults Asgard activos. Los fondos de los usuarios quedaron a salvo.
El vector es sofisticado. Un validador operó honestamente durante días, acumulando fragmentos de material criptográfico durante las ceremonias de firma normales del protocolo GG20 TSS. Con suficientes fragmentos extraídos a lo largo del tiempo, reconstruyó la clave privada completa de un vault Asgard, firmando transacciones salientes como si contara con la legitimidad del consenso completo de la red. El nodo malicioso, identificado como thor16ucjv3v695mq283me7esh0wdhajjalengcn84q, había entrado en el conjunto activo apenas unos días antes del ataque. Una planificación de manual.
Chainalysis reconstruyó semanas de preparación: operaciones en Monero, Hyperliquid y Arbitrum, cerradas con una transferencia de 8 ETH al wallet de ataque exactamente 43 minutos antes del drenaje. Una firma ya vista: Kelp DAO había sido vaciado por $292 millones en abril con meses de preparación análoga. THORChain, paradójicamente, había sido usado como rail de lavado en aquella operación, con el Lazarus Group moviendo cerca de $175 millones en ETH robado a través del protocolo en 36 horas. La crisis de Aave tras Kelp se cerró apenas el 18 de mayo, el mismo día del segundo ataque de esta semana.
Informe de incidente de seguridad
- Protocolo Verus-Ethereum Bridge
- Fondos sustraídos $11.580.000
- Activos drenados 103,6 tBTC · 1.625 ETH · 147K USDC
- Fecha 18 de mayo de 2026
- Wallet del atacante 0x65Cb…C25F9
- Vector Vector técnico en fase de análisis al 19 de mayo de 2026. El wallet había sido prefinanciado con 1 ETH vía Tornado Cash unas 14 horas antes. Los fondos fueron convertidos en 5.402,4 ETH y permanecen en el wallet.
- Respuesta del protocolo Alerta en tiempo real de Blockaid. Ningún comunicado técnico completo del equipo de Verus al momento de la publicación.
Fuente: Blockaid, PeckShield · 18 mayo 2026
Fuente: Blockaid, PeckShield · 18 mayo 2026
Tres días después de THORChain. Sin pausa. Blockaid detectó el exploit en el Verus-Ethereum Bridge mientras aún estaba en curso: el atacante ya había drenado 103,6 tBTC, 1.625 ETH y 147.000 USDC antes de que nadie pudiera intervenir, convirtiendo todo en 5.402,4 ETH, según datos de PeckShield. El wallet de destino, 0x65Cb8b128Bf6e690761044CCECA422bb239C25F9, seguía activo al 19 de mayo. El prefinanciamiento vía Tornado Cash 14 horas antes no deja dudas: operación planificada, no oportunista. Un esquema ya documentado con Drift Protocol en abril, donde los wallets de ataque habían sido preparados semanas antes con las mismas herramientas. El vector técnico específico de Verus sigue en análisis.
Informe de incidente de seguridad
- Protocolo Echo Protocol (Monad)
- Fondos sustraídos (efectivo) $816.000
- eBTC acuñados (nominal) 1.000 eBTC ($76,7M)
- Fecha 18-19 may 2026, 22:55 UTC
- ETH enviados a Tornado Cash 384 ETH ($821.700)
- Vector Clave admin comprometida: EOA única sin multisig, sin timelock, sin límite de emisión. El atacante acuñó 1.000 eBTC, usó 45 como colateral en Curvance, tomó prestado 11,29 WBTC y envió 384 ETH a Tornado Cash.
- Respuesta del protocolo Echo recupera las claves admin y quema los 955 eBTC restantes. Operaciones cross-chain suspendidas. Curvance pausa el mercado eBTC. El cofundador de Monad Keone Hon confirmó que la red no está comprometida.
Fuente: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD) · 18-19 mayo 2026
Fuente: PeckShield, dcfgod, Blockaid, Keone Hon (@keoneHD en X) · 18-19 mayo 2026
El 18 de mayo por la noche, el analista on-chain dcfgod publicó un post en X. Alguien había acuñado 1.000 eBTC en Echo Protocol, sobre Monad, de la nada. Valor nominal: $76,7 millones. Daño real: $816.000, según PeckShield. La brecha entre ambas cifras lo explica todo: el atacante disponía de claves admin con poderes de emisión ilimitados, sin protección multisig y sin timelock. Usó 45 eBTC como colateral en Curvance, retiró 11,29 WBTC, trasladó los fondos a Ethereum y envió 384 ETH a Tornado Cash. Todo en pocas horas. Los 955 eBTC restantes permanecían inutilizables en el wallet del atacante: no había liquidez suficiente en la red Monad para convertirlos en valor real. Echo los quemó. El cofundador de Monad Keone Hon confirmó en X que la propia red no fue tocada.
El fundador de SlowMist, Yu Xian, señaló el problema de fondo: un único punto de control con poderes absolutos de emisión es una vulnerabilidad por diseño, no un error aislado. El patrón es idéntico al de decenas de exploits anteriores en bridges cross-chain. Para entender cómo arquitecturas similares están abriendo brechas también en el sector AI-crypto, el análisis de SpazioCrypto sobre routers LLM y seguridad de wallets describe el mismo esquema sobre un vector diferente.
Datos clave
- THORChain, fondos drenados (15 may) $10.800.000
- Verus Bridge, fondos drenados (18 may) $11.580.000
- Echo Protocol, daño efectivo (19 may) $816.000
- Echo Protocol, eBTC acuñados (nominal) $76.700.000 (no liquidables)
- Total efectivo 3 exploits (5 días) $23.196.000
- Exploits DeFi totales en mayo 2026 14 (fuente: DefiLlama)
Fuente: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15-19 mayo 2026
Fuente: TRM Labs, Blockaid, PeckShield, Keone Hon, DefiLlama · 15-19 mayo 2026
¿Cómo roban los hackers criptomonedas de los bridges DeFi?
Los tres ataques de esta semana tienen vectores técnicos distintos, pero comparten una estructura común. El bridge es el punto de entrada, no porque sea necesariamente el componente más débil, sino porque concentra el mayor valor en tránsito entre cadenas diferentes, con frecuencia con menos redundancia de la que se permiten los protocolos core.
En THORChain, el atacante aprovechó una falla criptográfica en el GG20 TSS: no robó la clave, la reconstruyó pieza a pieza durante operaciones legítimas de red. Con la clave ensamblada, firmaba transacciones como un validador auténtico. Ninguna alerta hasta que los movimientos on-chain ya eran evidentes.
En Verus Bridge, el vector sigue en análisis, pero el prefinanciamiento vía Tornado Cash 14 horas antes apunta a una operación cuidadosamente planificada, no oportunista. En Echo Protocol, la brecha no era criptográfica: una clave admin sin protecciones, con poder de emisión ilimitado, era la única barrera entre el protocolo y quien tuviera acceso.
El mecanismo de amplificación del daño responde siempre al mismo patrón. Tokens sintéticos o wrapped emitidos por un bridge son aceptados como colateral por protocolos de lending adyacentes. Se crea valor de la nada, se toma prestado valor real, y se sale antes de que los sistemas reaccionen. Es el esquema que destruyó el bridge Kelp DAO por $292 millones en abril. Antes aún, con dinámicas similares, había golpeado a Drift Protocol por $285 millones. La composabilidad DeFi es su mayor fortaleza. En estos escenarios es también la palanca de destrucción más eficiente que existe. Para profundizar en cómo protegerse, la Guía Web3 de SpazioCrypto cubre los principales riesgos operativos.
Según DefiLlama, mayo de 2026 acumula ya 14 incidentes de seguridad en protocolos DeFi. El día 19 no había terminado. Abril cerró con $651 millones totales, con Kelp y Drift representando por sí solos el 91% del daño. La atención ahora se concentra en dos puntos concretos. Primero: la atribución del exploit de THORChain. TRM Labs aún no ha asignado responsabilidad a ningún actor.
Si emergiera la implicación del Grupo Lazarus, tal como ya fue documentado en los casos Kelp y Drift, las pérdidas atribuidas a Corea del Norte en 2026 superarían cualquier año anterior con cuatro meses aún por cerrar. Segundo: la votación de la comunidad THORChain sobre la remediation, prevista para el 22-23 de mayo, entre el slashing de los bonos del nodo comprometido y la cobertura con protocol-owned liquidity. RUNE ya había perdido un 15% en cuestión de horas.
Lo que la comunidad decida en los próximos días dirá algo concreto sobre la capacidad de DeFi para establecer sus propias reglas sin esperar que alguien las imponga desde fuera. Todos los protocolos afectados están activamente bajo escrutinio on-chain: la atribución de THORChain y el voto de remediation antes del 23 de mayo son las dos señales que los inversores deben seguir de cerca. Todos los reportes de exploits de mayo están disponibles en la sección Hack de SpazioCrypto.
