A PeckShield, a 22 de maio, confirmou a monitorização de que o atacante do ataque à ponte cross-chain do Verus—Ethereum já devolveu ao endereço oficial da Verus 4.052,4 ETH (cerca de 8,5 milhões de dólares), o que representa 75% do total após a agregação dos ativos roubados, no valor de 5.402,4 ETH. Os restantes 1.350 ETH (cerca de 2,85 milhões de dólares, 25%) permanecem na carteira do atacante como recompensa pela vulnerabilidade.
Mecanismo do ataque: como uma falha de validação de entrada pode ser explorada com baixo custo para roubar ativos de valor na ordem dos milhões
As confirmações da equipa oficial do Verus e de análises on-chain indicam que este ataque não resultou de divulgação de chaves privadas nem de falsificação de assinaturas. Tratou-se, em vez disso, da exploração de uma falha estrutural no “gap de validação de entrada” do contrato de ponte: o atacante iniciou, na rede do Verus, uma transação real de baixo valor (cerca de 0,01 dólar em VRSC), mas injetou no Payload (carga útil) de transferência cross-chain uma quantidade de tokens muito superior ao montante efetivamente bloqueado. O contrato da ponte, na fase de verificação, não conseguiu validar se o montante declarado no Payload era igual ao montante efetivamente bloqueado na cadeia de origem, acabando por ser enganado e libertando fundos de reserva da ponte muito acima do valor realmente transferido. Após o incidente, a rede do Verus suspendeu temporariamente operações e a maioria dos nós de produção de blocos saiu voluntariamente para evitar perdas adicionais.
Cláusulas confirmadas da negociação da recompensa on-chain e limites de isenção
O Verus, numa proposta on-chain de 21 de maio, confirmou as seguintes cláusulas. Estas foram registadas publicamente na blockchain Ethereum como um acordo formal:
Pedido de devolução: 4.052,4 ETH devem ser devolvidos ao endereço indicado antes de um prazo limite de 24 horas
Reconhecimento da recompensa: após a conclusão da devolução, o Verus reconhece oficialmente como recompensa legítima pela vulnerabilidade os 1.350 ETH retidos
Compromisso de investigação: o Verus envidará os maiores esforços para encerrar a investigação existente, evitando iniciar uma nova investigação
Compromisso jurídico: o Verus evitará intentar processos judiciais
Declaração pública: o Verus irá reconhecer publicamente a natureza de recompensa do dinheiro retido
Limite importante: os compromissos acima não vinculam os órgãos de execução da lei, bolsas, fornecedores de infraestrutura ou outros terceiros — este acordo representa apenas a posição oficial do Verus
Perguntas frequentes
Qual é o significado técnico específico da falha de validação de entrada na ponte cross-chain do Verus?
A falha de validação de entrada (Validation Gap) refere-se a que, ao processar pedidos de transferência cross-chain, o contrato de ponte não valida nem compara o montante de tokens declarado no Payload com o montante de tokens efetivamente bloqueado na cadeia de origem. Isto permite que o atacante inicie na cadeia de origem uma transação válida de montante muito baixo (cerca de 0,01 dólar), declarando no Payload um montante muito superior ao valor real. Assim, o contrato da ponte na cadeia-alvo acredita nos números do Payload e liberta fundos de reserva muito acima do valor efetivo. Este tipo de vulnerabilidade constitui um defeito de conceção a nível da lógica de contratos inteligentes e é do mesmo tipo do padrão de ataque de pontes associado ao “gap de validação de mensagem de reintento” da Map Protocol Butter Bridge V3.1.
A percentagem de 25% da recompensa é uma configuração comum em negociações de ataques a pontes DeFi?
A percentagem de 25% da recompensa é uma proporção relativamente elevada nos projetos tradicionais de recompensa por vulnerabilidade. No entanto, no contexto de negociações para recuperar ataques a pontes em que os fundos já foram agregados e é difícil congelá-los, não é incomum. Nesses cenários, as equipas dos projetos normalmente oferecem recompensas em troca da devolução voluntária por parte do atacante, para evitar que os fundos desapareçam completamente através de misturadores ou ferramentas de privacidade. O caso anterior do Renegade dark pool também utilizou um padrão de negociação on-chain semelhante: ao permitir que o atacante mantivesse uma parte dos ativos como contrapartida, conseguiu recuperar a maior parte dos fundos.
Os compromissos do acordo do Verus conseguem proteger eficazmente o atacante de responsabilidade legal?
No acordo, o Verus declara de forma explícita que os seus compromissos (parar a investigação, não intentar ações judiciais) apenas vinculam a própria parte do projeto Verus, não podendo vincular as autoridades de execução, bolsas, fornecedores de infraestrutura de blockchain ou outros terceiros. Isto significa que, mesmo após a devolução dos fundos, se as ações on-chain do atacante continuarem a ser rastreadas por autoridades de execução, sistemas KYC de bolsas ou empresas de análise on-chain, os compromissos do Verus não podem ser usados como base de isenção. Antes de aceitar a estrutura de recompensa, o atacante utilizou o Tornado Cash para misturar os fundos iniciais 14 horas antes, o que por si só também pode aumentar a dificuldade do rastreio posterior por parte das autoridades.
