PeckShield, le 22 mai, a confirmé avoir observé que l’attaquant du pont inter-chaînes Verus–Ethereum a rétrocédé à l’adresse officielle de Verus 4 052,4 ETH (environ 8,5 millions de dollars), soit 75 % du total après consolidation des actifs volés, qui s’élève à 5 402,4 ETH. Les 1 350 ETH restants (environ 2,85 millions de dollars, 25 %) ont été conservés dans le portefeuille de l’attaquant en tant que prime liée à la faille.
Mécanisme d’attaque : comment une faille de validation des entrées permet de s’emparer, à faible coût, d’un patrimoine de plusieurs millions
Les confirmations de l’équipe officielle de Verus et les analyses on-chain établissent que cette attaque ne relève ni d’une fuite de clés privées ni d’une falsification de signatures. Il s’agit d’une exploitation structurelle d’une vulnérabilité de « faille de validation des entrées » au niveau du contrat de pont : l’attaquant initie sur la chaîne Verus une transaction réelle de faible valeur (environ 0,01 dollar en VRSC), mais injecte, dans le Payload de transfert inter-chaînes, une quantité de tokens bien supérieure au montant réellement verrouillé. Or, lors de l’étape de vérification, le contrat de pont ne parvient pas à vérifier si le montant déclaré dans le Payload correspond au montant effectivement verrouillé sur la chaîne source. Le pont est ainsi trompé et libère des fonds de réserve de pont largement supérieurs au montant réellement transféré. Après l’incident, le réseau Verus a temporairement suspendu le fonctionnement ; la plupart des nœuds produisant des blocs se sont volontairement mis hors ligne afin d’empêcher toute perte supplémentaire.
Conditions confirmées des négociations on-chain sur la prime et limites de non-responsabilité
Dans sa proposition on-chain du 21 mai, Verus a confirmé les conditions suivantes, qui ont été consignées comme accord officiel dans un enregistrement public sur la blockchain Ethereum :
Exigence de restitution : 4 052,4 ETH doivent être restitués à l’adresse désignée avant l’expiration d’un délai de 24 heures
Reconnaissance de la prime : après l’exécution du retour, Verus reconnaîtra officiellement la prime au titre des 1 350 ETH conservés comme une prime légitime liée à la faille
Engagement d’enquête : Verus s’efforcera au maximum d’arrêter l’enquête en cours, afin d’éviter d’en déclencher une nouvelle
Engagement juridique : Verus évitera d’intenter des poursuites
Déclaration publique : Verus reconnaîtra publiquement que la prime liée à la nature des fonds retenus a vocation à être une prime
Limite importante : les engagements ci-dessus ne lient pas les organismes d’application de la loi, les exchanges, les fournisseurs d’infrastructures ou tout autre tiers — cet accord ne représente que la position du site officiel de Verus
Questions fréquentes
Quelle est la signification technique précise de la faille de validation des entrées du pont inter-chaînes de Verus ?
La faille de validation des entrées (Validation Gap) désigne le fait que, lors du traitement d’une demande de transfert inter-chaînes, le contrat de pont ne compare ni ne vérifie le montant de tokens déclaré dans le Payload avec le montant réel de tokens verrouillés sur la chaîne source. Cela permet à un attaquant de lancer une transaction légitime d’un montant extrêmement faible (environ 0,01 dollar) sur la chaîne source, tout en déclarant dans le Payload un montant bien supérieur à la valeur réelle. Le contrat de pont de la chaîne cible, se fiant aux chiffres du Payload, libère alors des fonds de réserve bien plus élevés que la valeur effectivement transférée. Ce type de vulnérabilité relève d’un défaut de conception au niveau de la logique des smart contracts, et correspond au même type de schéma d’attaque de pont que la « faille de validation du message de re-tentative » de Map Protocol Butter Bridge V3.1.
Le ratio de 25 % de la prime est-il une configuration courante dans les négociations d’attaques de pont DeFi ?
La part de 25 % de la prime est relativement élevée dans les projets de primes traditionnels, mais elle n’est pas rare dans les négociations de récupération d’attaques de pont, une fois les fonds consolidés et difficiles à geler. Dans ce type de situation, les équipes de projet échangent généralement une prime contre le retour volontaire de l’attaquant, afin d’éviter que les fonds ne disparaissent totalement via le mélangeur ou des outils de confidentialité. L’incident du Renegade Dark Pool avait aussi recouru à un schéma de négociation on-chain similaire : en permettant à l’attaquant de conserver une partie des actifs en contrepartie, l’essentiel des fonds a pu être récupéré.
Les engagements contractuels de Verus peuvent-ils protéger efficacement l’attaquant contre des poursuites judiciaires ?
Dans le cadre de son accord, Verus déclare clairement que ses engagements (arrêter l’enquête, ne pas intenter de poursuites) ne lient que le projet Verus lui-même et ne peuvent pas lier les organismes d’application de la loi, les exchanges, les fournisseurs d’infrastructures blockchain ou tout autre tiers. Cela signifie que, si l’attaquant est encore suivi après le retour des fonds par les organismes d’application, les systèmes KYC des exchanges ou des sociétés d’analyse on-chain, l’engagement de Verus ne peut pas servir de base d’exonération. De plus, avant d’accepter l’arrangement relatif à la prime, l’attaquant avait utilisé Tornado Cash pour réaliser le mélange des fonds initiaux dans les 14 heures précédentes, ce qui pourrait également augmenter la difficulté du suivi d’exécution ultérieur.
