A bridge Verus-Ethereum foi drenada em cerca de US$ 11,5 milhões após uma transferência cross-chain forjada, segundo empresas de segurança on-chain. O caso reacende o alerta sobre pontes DeFi, justamente após uma sequência de ataques envolvendo KelpDAO e THORChain.
A bridge Verus-Ethereum perdeu mais de US$ 11,5 milhões em criptoativos após um atacante explorar uma falha na validação de mensagens cross-chain. O incidente foi identificado pela Blockaid no domingo à noite e depois detalhado por outras empresas de segurança, incluindo PeckShield, GoPlus Security e ExVul.
Segundo os relatórios on-chain citados pela crypto.news e pelo Bitcoin.com News, os ativos drenados incluíram 103,6 tBTC, 1.625 ETH e quase 147 mil USDC. A PeckShield afirmou que o invasor converteu os fundos roubados em aproximadamente 5.402 ETH, avaliados em torno de US$ 11,4 milhões no momento da apuração.
Como o ataque aconteceu
A Blockaid informou que o ataque envolveu uma mensagem de transferência cross-chain forjada, capaz de passar pelo processo de verificação da bridge. Em análise posterior, a empresa disse que o problema não parecia ser uma quebra de ECDSA, comprometimento de chaves de notários ou falha de parser, mas uma validação ausente no campo de valor de origem dentro do processo checkCCEValues.
Na prática, esse tipo de falha permite que uma instrução falsa convença a infraestrutura da bridge a liberar reservas reais. A ExVul chegou a conclusão parecida: o atacante teria usado um payload de importação cross-chain forjado que foi aceito pelo contrato, acionando três transferências separadas para uma carteira controlada pelo invasor.
A GoPlus Security acrescentou que o atacante primeiro enviou uma transação de baixo valor ao contrato da bridge e, em seguida, executou uma função que resultou na transferência em lote de ativos das reservas. A carteira usada no ataque teria recebido 1 ETH via Tornado Cash horas antes, um padrão comum em operações que tentam dificultar o rastreamento da origem dos fundos.
Bridges seguem como alvo sensível no DeFi
A Verus é uma blockchain híbrida de prova de trabalho e prova de participação, lançada em 2018, enquanto sua bridge com Ethereum permite mover ativos entre os dois ecossistemas. Até a publicação dos relatórios consultados, a equipe da Verus ainda não havia comentado publicamente o incidente.
O episódio aumenta a pressão sobre o setor de interoperabilidade, uma das áreas mais atacadas do DeFi. O CriptoBR acompanhou recentemente como a THORChain paralisou operações após suspeita de hack de US$ 10 milhões, outro caso que reforça o risco operacional em protocolos que conectam múltiplas redes.
Também em maio, o mercado ainda digeria os desdobramentos do hack na Kelp DAO, que drenou US$ 292 milhões e afetou rsETH em 20 redes. Dias depois, a Aave liderou um esforço de resgate DeFi ligado ao caso KelpDAO, mostrando como ataques a protocolos conectados podem rapidamente gerar efeitos em cascata.
O que o leitor deve observar
Para usuários comuns, a principal lição é que bridges continuam sendo pontos de risco mesmo quando os ativos de origem parecem seguros. Ao usar pontes cross-chain, o usuário passa a depender de contratos, validadores, provas, mensagens e mecanismos de emergência que podem falhar em conjunto.
Para protocolos, o caso reforça a necessidade de validar payloads contra dados autenticados antes de liberar qualquer reserva, além de aplicar limites de saque, monitoramento em tempo real e mecanismos de pausa emergencial. Em ataques desse tipo, poucos minutos podem ser suficientes para converter ativos diversos em ETH e preparar uma rota de lavagem mais difícil de conter.
O ataque à Verus-Ethereum não é o maior do ano, mas chega em um momento ruim para a confiança em bridges. A repetição de incidentes sugere que a próxima fase de segurança DeFi não será apenas sobre auditorias de contrato, mas sobre validação rigorosa de mensagens entre redes.
Oliver Andrade é jornalista, empreendedor e uma das vozes mais ativas do ecossistema cripto brasileiro. Aos 32 anos, casado e pai, concilia a vida pessoal com uma trajetória intensa no mercado de ativos digitais que começou em 2020 — quando...
