Ponte Verus Ethereum explorada com 11,6 milhões de dólares via mensagem de transferência falsa

O exploit da ponte Ethereum do Verus Protocol foi explorado na segunda-feira através de uma mensagem falsa de transferência cross-chain, permitindo que um hacker transferisse fraudulentamente pelo menos 11,58 milhões de dólares em criptomoeda. A plataforma de segurança onchain Blockaid identificou o exploit em curso e documentou uma transacção que mostra uma transferência de 1.625 Ether (ETH), 147.659 USDC e 103,57 tBTC v2, no valor de mais de 11,5 milhões de dólares. Os fundos roubados foram entretanto convertidos em Ether, com a carteira do atacante a deter um saldo de 5.402 Ether, no valor aproximado de 11,4 milhões de dólares, segundo o Etherscan. A empresa de segurança blockchain PeckShield confirmou a transferência como um exploit. O incidente reflecte uma tendência mais ampla de vulnerabilidades em DeFi: os hackers de cripto roubaram mais de 168,6 milhões de dólares a partir de 34 protocolos de finanças descentralizadas no primeiro trimestre de 2026, com abril a assinalar dois dos maiores ataques do ano — o exploit do Drift Protocol no valor de 280 milhões de dólares e o exploit da Kelp no valor de 292 milhões de dólares.

## Exploit Details

O sistema de detecção da Blockaid identificou o exploit na segunda-feira e partilhou dados da transacção no Etherscan. Os activos roubados incluíam 1.625 ETH, 147.659 USDC e 103,57 tBTC v2. A PeckShield confirmou a transferência como um exploit, com os dados onchain a mostrar que os fundos foram convertidos em 5.402 Ether na carteira do atacante.

## Technical Analysis

A Blockaid afirmou que o incidente do Verus Protocol se assemelha ao exploit da ponte Nomad, no valor de 190 milhões de dólares, e ao exploit do Wormhole, no valor de 325 milhões de dólares, de 2022. O atacante explorou a ponte ao enganar o protocolo a acreditar que as instruções de transferência eram reais, fazendo com que a ponte enviasse fundos das suas reservas para a carteira do atacante.

A Blockaid identificou a causa raiz como a validação em falta do montante da origem em checkCCEValues, exigindo cerca de 10 linhas de código Solidity para ser corrigido. A empresa de segurança sublinhou que se tratava de “NÃO uma bypass de ECDSA. NÃO uma quebra de chave de notário. NÃO um bug de parser/hash-binding.”

O fornecedor de segurança blockchain ExVul chegou a uma conclusão semelhante, afirmando que o atacante usou um “forged cross-chain import payload” que passou o “bridge's verification flow” e resultou em “três transfers anexados ao atacante para a drainer wallet”.

## Security Recommendations

A ExVul recomendou que “as provas de importação cross-chain tenham de associar todos os efeitos de transferência downstream aos dados de payload autenticados antes da execução.” O fornecedor de segurança aconselhou as pontes a “adicionar validação estrita do payload à execução, defesa em profundidade em torno da verificação de provas e pausar os fluxos de saída quando são detectadas importações anómalas.”

## Related Incidents

O exploit do Verus segue-se à confirmação da THORChain, no sábado, de que sofreu um exploit de 10 milhões de dólares. O incidente faz parte de um padrão em escalada de ataques a DeFi em 2026.