Ponte Verus Ethereum é explorada por US$ 11,6 milhões via mensagem falsa de transferência

A ponte do Verus Protocol para Ethereum foi explorada na segunda-feira por meio de uma mensagem falsa de transferência cross-chain, permitindo que um hacker transferisse fraudulentamente pelo menos US$ 11,58 milhões em criptomoeda. A plataforma de segurança onchain Blockaid identificou a exploração em andamento e documentou uma transação mostrando uma transferência de 1.625 Ether (ETH), 147.659 USDC e 103,57 tBTC v2, no valor de mais de US$ 11,5 milhões. Os fundos roubados desde então foram convertidos em Ether, com a carteira do atacante mantendo um saldo de 5.402 Ether, no valor de aproximadamente US$ 11,4 milhões, segundo o Etherscan. A empresa de segurança de blockchain PeckShield confirmou a transferência como uma exploração. O incidente reflete uma tendência mais ampla de vulnerabilidades em DeFi: hackers de cripto roubaram mais de US$ 168,6 milhões de 34 protocolos de finanças descentralizadas no primeiro trimestre de 2026, com abril registrando dois dos maiores ataques do ano — a exploração do Drift Protocol de US$ 280 milhões e a exploração do Kelp de US$ 292 milhões.

## Exploit Details

O sistema de detecção da Blockaid identificou a exploração na segunda-feira e compartilhou dados da transação no Etherscan. Os ativos roubados incluíam 1.625 ETH, 147.659 USDC e 103,57 tBTC v2. A PeckShield confirmou a transferência como uma exploração, com os dados onchain mostrando que os fundos foram convertidos em 5.402 Ether na carteira do atacante.

## Technical Analysis

A Blockaid afirmou que o incidente do Verus Protocol se parece com a exploração da ponte Nomad de US$ 190 milhões e com a exploração do Wormhole de US$ 325 milhões, ambas de 2022. O atacante explorou a ponte ao enganar o protocolo para acreditar que as instruções de transferência eram reais, fazendo com que a ponte enviasse fundos de suas reservas para a carteira do atacante.

A Blockaid identificou a causa raiz como uma validação ausente do valor de origem em checkCCEValues, exigindo aproximadamente 10 linhas de código Solidity para corrigir. A empresa de segurança destacou que isso era "NÃO uma quebra de ECDSA. NÃO uma quebra de chave notary. NÃO um bug de parser/hash-binding."

A provedora de segurança de blockchain ExVul chegou a uma conclusão semelhante, afirmando que o atacante usou um "payload de importação cross-chain forjado" que passou pelo "fluxo de verificação da ponte" e resultou em "três transferências acopladas ao atacante para a carteira do drainer".

## Security Recommendations

A ExVul recomendou que "as provas de importação cross-chain devem vincular cada efeito de transferência downstream aos dados do payload autenticados antes da execução". A provedora orientou que as pontes "adicionem validação rigorosa do payload para a validação de execução, defesa em profundidade em torno da verificação da prova e pause os fluxos de saída quando importações anômalas forem detectadas."

## Related Incidents

A exploração do Verus ocorre após a confirmação da THORChain, no sábado, de que sofreu uma exploração de US$ 10 milhões. O incidente faz parte de um padrão de ataques a DeFi em escalada em 2026.