A PeckShield monitorou e confirmou em 22 de maio que o atacante do ataque à ponte cross-chain da Verus — Ethereum já devolveu 4.052,4 ETH (cerca de US$ 8,5 milhões) para o endereço oficial da Verus. Isso representa 75% do total (após a soma dos ativos roubados) de 5.402,4 ETH. Os 1.350 ETH restantes (cerca de US$ 2,85 milhões, 25%) foram mantidos na carteira do atacante como recompensa pela vulnerabilidade.
Mecanismo do ataque: como uma brecha de validação de entrada permite operação barata para roubar ativos de dezenas de milhões
Confirmações da Verus oficial e de análises on-chain indicam que este ataque não foi causado por vazamento de chave privada nem por falsificação de assinatura. Em vez disso, explorou-se uma vulnerabilidade estrutural na “brecha de validação de entrada” do contrato de ponte: o atacante iniciou uma transação real e de baixo valor na blockchain da Verus (aprox. 0,01 dólar em VRSC), mas injetou no Payload (carga útil) da transferência cross-chain uma quantidade de tokens muito maior do que o valor efetivamente travado. Em seguida, o contrato da ponte falhou em verificar, na etapa de validação, se o valor declarado no Payload era consistente com o valor realmente travado na cadeia de origem, sendo assim enganado. Com isso, foram liberados fundos de reserva muito acima do valor efetivamente transferido. Após a ocorrência do evento, a rede Verus pausou temporariamente, e a maioria dos nós validadores de produção optou por sair voluntariamente para evitar perdas adicionais.
Termos confirmados da negociação da recompensa on-chain e limites de responsabilidade
A Verus confirmou, em uma proposta on-chain de 21 de maio, os seguintes termos. Esses termos já foram registrados publicamente como um acordo formal na blockchain Ethereum:
Exigência de devolução: os 4.052,4 ETH devem ser devolvidos ao endereço especificado antes do prazo-limite de 24 horas
Reconhecimento da recompensa: após a conclusão da devolução, a Verus reconhece formalmente os 1.350 ETH retidos como recompensa legal por vulnerabilidade
Compromisso de investigação: a Verus se esforçará ao máximo para encerrar a investigação existente e evitar iniciar novas investigações
Compromisso legal: a Verus evitará entrar com ações judiciais
Declaração pública: a Verus reconhecerá publicamente a natureza de recompensa dos fundos retidos
Limite importante: os compromissos acima não vinculam autoridades de execução legal, exchanges, provedores de infraestrutura ou outros terceiros — este acordo representa apenas a posição da Verus oficial
Perguntas frequentes
Qual é o significado técnico específico da brecha de validação de entrada na ponte cross-chain da Verus?
A brecha de validação de entrada (Validation Gap) se refere ao fato de o contrato de ponte, ao processar solicitações de transferência cross-chain, não comparar/verificar a compatibilidade entre o valor de tokens declarado no Payload da transferência e o valor de tokens realmente travado na cadeia de origem. Isso permite que o atacante faça uma transação legítima na cadeia de origem com um valor extremamente baixo (aprox. 0,01 dólar) e, ao mesmo tempo, declare no Payload um valor muito acima do valor real. O contrato de ponte da cadeia-alvo, ao acreditar nos números do Payload, libera fundos de reserva muito superiores aos valores efetivamente transferidos. Esse tipo de falha é um defeito de projeto no nível da lógica de smart contract, e se enquadra na mesma categoria de padrão de ataque de ponte que o “gap de validação de mensagens para reenvio” da Map Protocol Butter Bridge V3.1.
A proporção de 25% da recompensa é um arranjo comum em negociações de ataques de pontes DeFi?
A participação de 25% da recompensa fica em um patamar relativamente alto em projetos tradicionais de recompensa por falhas, mas não é incomum em negociações de ataques a pontes para recuperar fundos que já foram agregados e são difíceis de congelar. Nesses casos, as equipes de projetos normalmente usam a recompensa como contrapartida para incentivar o atacante a devolver voluntariamente os fundos, evitando que eles desapareçam completamente por meio de misturadores de carteiras ou ferramentas de privacidade. O incidente da Renegade dark pool também adotou um padrão semelhante de negociação on-chain no passado, permitindo que o atacante mantivesse parte dos ativos como preço a pagar, o que permitiu recuperar a maior parte dos fundos.
Os compromissos do acordo da Verus conseguem proteger efetivamente o atacante de responsabilização legal?
No acordo, a Verus declara de forma explícita que seus compromissos (encerrar a investigação e não mover ações judiciais) vinculam apenas a própria parte do projeto Verus, não podendo vincular autoridades de execução legal, exchanges, provedores de infraestrutura de blockchain nem outros terceiros. Isso significa que, se após devolver os fundos o atacante ainda tiver suas atividades on-chain rastreadas por autoridades, sistemas de KYC de exchanges ou empresas de análise on-chain, os compromissos da Verus não poderão servir como base de isenção de responsabilidade. Antes de aceitar o arranjo de recompensa, o atacante usou o Tornado Cash para misturar os fundos iniciais 14 horas antes, o que também pode aumentar a dificuldade do rastreamento posterior por parte das autoridades.
