PeckShield pada 22 Mei memantau dan mengonfirmasi bahwa penyerang serangan jembatan lintas-chain Verus-Ethereum telah mengembalikan 4.052,4 ETH (sekitar 8,5 juta dolar AS) ke alamat resmi Verus. Jumlah ini mewakili 75% dari total setelah aset yang dicuri digabungkan, yakni 5.402,4 ETH. Sisanya 1.350 ETH (sekitar 2,85 juta dolar AS atau 25%) dipertahankan di dalam dompet penyerang sebagai hadiah bug.
Mekanisme Serangan: Bagaimana Celah Validasi Input Dimanfaatkan dengan Biaya Rendah untuk Mencuri Aset Bernilai Puluhan Juta
Konfirmasi dari pihak resmi Verus dan analisis on-chain menyatakan bahwa serangan ini bukan berasal dari kebocoran kunci privat atau pemalsuan tanda tangan, melainkan eksploitasi celah struktural pada “celah validasi input” kontrak jembatan. Penyerang memulai transaksi nyata bernilai rendah di jaringan Verus (sekitar 0,01 dolar AS untuk VRSC), namun menyuntikkan jumlah token yang jauh lebih besar daripada nilai penguncian sebenarnya ke dalam Payload transfer lintas-chain. Kontrak jembatan gagal memverifikasi apakah jumlah yang dinyatakan dalam Payload sesuai dengan jumlah yang benar-benar dikunci di chain asal pada tahap verifikasi, sehingga tertipu dan melepaskan dana cadangan jembatan yang jauh melebihi nilai transfer yang sesungguhnya. Setelah kejadian, jaringan Verus sempat dihentikan sementara; sebagian besar node penghasil blok memilih untuk offline secara sukarela untuk mencegah kerugian lanjutan.
Ketentuan yang Dikonfirmasi untuk Negosiasi Hadiah On-Chain dan Batas Tanggung Jawab
Dalam proposal on-chain pada 21 Mei, Verus mengonfirmasi ketentuan berikut. Ketentuan ini telah dicatat sebagai perjanjian resmi dalam rekaman publik di blockchain Ethereum:
Permintaan Pengembalian: 4.052,4 ETH harus dikembalikan ke alamat yang ditentukan sebelum batas waktu 24 jam
Pengakuan Hadiah: Setelah pengembalian selesai, Verus secara resmi menetapkan 1.350 ETH yang ditahan sebagai hadiah bug yang sah
Komitmen Investigasi: Verus akan berupaya semaksimal mungkin untuk menghentikan investigasi yang sedang berjalan, sekaligus menghindari peluncuran investigasi baru
Komitmen Hukum: Verus akan menghindari mengajukan gugatan
Pernyataan Publik: Verus akan secara terbuka mengakui sifat hadiah dari dana yang ditahan
Batas Penting: Komitmen di atas tidak mengikat lembaga penegak hukum, bursa, penyedia infrastruktur, atau pihak ketiga lainnya—perjanjian ini hanya mewakili posisi resmi Verus
FAQ
Apa makna teknis spesifik dari celah validasi input pada jembatan lintas-chain Verus?
Celah validasi input (Validation Gap) mengacu pada kondisi ketika kontrak jembatan, saat menangani permintaan transfer lintas-chain, tidak melakukan pencocokan dan verifikasi antara jumlah token yang dinyatakan dalam Payload transfer dan jumlah token yang benar-benar dikunci di chain asal. Ini memungkinkan penyerang memulai transaksi yang sah dengan nilai sangat rendah di chain asal (sekitar 0,01 dolar AS), sambil menyatakan jumlah yang jauh lebih besar daripada nilai sebenarnya di Payload. Kontrak jembatan di chain tujuan kemudian keliru mempercayai angka dalam Payload, sehingga dana cadangan dilepaskan jauh melebihi nilai sebenarnya. Jenis celah ini merupakan cacat desain pada lapisan logika smart contract, yang termasuk kategori yang sama dengan pola serangan jembatan “celah verifikasi pesan uji ulang” pada Map Protocol Butter Bridge V3.1.
Apakah proporsi hadiah 25% merupakan pengaturan yang umum dalam negosiasi serangan jembatan DeFi?
Proporsi hadiah 25% termasuk tingkat yang relatif tinggi dalam proyek hadiah bug tradisional, namun tidak jarang dalam negosiasi penarikan kembali serangan jembatan ketika dana sudah digabung dan sulit dibekukan. Dalam situasi seperti ini, pihak proyek biasanya menukar hadiah dengan pengembalian sukarela oleh penyerang untuk menghindari hilangnya dana sepenuhnya melalui mixing koin atau alat privasi. Insiden dark pool Renegade sebelumnya juga memakai pola negosiasi on-chain serupa: dengan mengizinkan penyerang mempertahankan sebagian aset sebagai imbalan, mayoritas dana berhasil ditarik kembali.
Apakah komitmen perjanjian Verus dapat melindungi penyerang secara efektif dari tuntutan hukum?
Dalam perjanjiannya, Verus secara tegas menyatakan bahwa komitmennya (menghentikan investigasi, tidak mengajukan gugatan) hanya mengikat pihak proyek Verus sendiri, dan tidak dapat mengikat lembaga penegak hukum, bursa, sistem KYC, penyedia infrastruktur blockchain, atau pihak ketiga lainnya. Artinya, jika penyerang setelah pengembalian dana masih dilacak oleh lembaga penegak hukum, sistem KYC bursa, atau perusahaan analitik on-chain, komitmen Verus tidak dapat dijadikan dasar pembebasan tanggung jawab. Sebelum menerima pengaturan hadiah, penyerang juga telah menyelesaikan mixing dana awal menggunakan Tornado Cash dalam 14 jam pertama, yang dengan sendirinya dapat menambah kesulitan pelacakan penegakan berikutnya.
