- Verus bridge perde mais de US$ 11 milhões em exploit clássico de validação
- Ataque custou apenas US$ 10 ao invasor e poderia ser barrado com 10 linhas de código
- Bridges acumulam US$ 329 mi em perdas em 2026 segundo a PeckShield
A ponte que conecta a blockchain Verus à rede Ethereum foi drenada em mais de US$ 11 milhões nesta semana, em um ataque que reacende um vetor de exploit que parecia em desuso desde 2022. O incidente é o oitavo ataque a bridges registrado em 2026 e empurra o prejuízo acumulado nesse tipo de infraestrutura para perto de US$ 329 milhões no ano, segundo estimativa da firma de auditoria PeckShield.
A Verus aparece em posição modesta no ranking da DeFiLlama, é a 58ª maior blockchain por valor total bloqueado, com apenas US$ 22 milhões em TVL. O detalhe que ganhou as redes foi o slogan exibido no site oficial do projeto “segurança sem auditorias”. A frase voltou a circular logo após o ataque, e o explorador on-chain da rede mostra que a produção de blocos parou cerca de 12 horas depois do exploit.
A falha técnica que custou US$ 10 ao atacante
De acordo com a plataforma de monitoramento Blockaid, que sinalizou a operação suspeita, a raiz do problema é praticamente idêntica à dos ataques que derrubaram as pontes Wormhole e Nomad em 2022. Três das quatro etapas de verificação da bridge funcionaram. A última, não.
O contrato deixou de checar se os parâmetros da transação na blockchain de origem batiam com os pagamentos liberados em Ethereum. Resultado, o invasor gastou cerca de US$ 10 em taxa para construir a operação e saiu do outro lado da ponte com milhões em ativos. A Blockaid estima que dez linhas de código teriam sido suficientes para fechar a brecha.
O endereço atacante recebeu ETH, tBTC e USDC diretamente na rede Ethereum. Em seguida, converteu posições de tBTC e USDC em ether, preparando rotas para misturadores antes da aplicação de blacklists. Segundo a Verus, a parada na produção de blocos ocorreu porque a maioria dos nós validadores se desconectou voluntariamente após detectar o ataque.
Bridges voltam ao radar dos atacantes
O retorno desse tipo de exploit chama atenção porque a indústria havia migrado para outros vetores. Em 2022, ano simbólico para o setor, ataques às pontes da Qubit, Wormhole, Ronin, Harmony, Nomad e BNB Chain somaram US$ 1,9 bilhão. A maioria explorou falhas em contratos inteligentes o mesmo padrão visto agora na Verus.
Nos últimos dois anos, o foco dos grupos mais sofisticados, sobretudo o norte-coreano Lazarus, virou para engenharia social e ataques de supply chain. Essa mudança ficou clara em episódios como o roubo de US$ 1,4 bilhão da Bybit e os US$ 280 milhões drenados do Drift Protocol. A volta de exploits de bridge sinaliza que código antigo, mal auditado e com TVL reduzido segue sendo terreno fértil para atacantes oportunistas.
Para o investidor brasileiro, o caso reforça uma máxima conhecida na economia de hacks em DeFi: o custo de atacar uma bridge mal projetada é praticamente nulo, enquanto o retorno pode multiplicar todo o capital travado. Em comparação, o ataque ao THORChain na sexta-feira anterior drenou US$ 10 milhões e derrubou o token RUNE em 14%.
Impacto no cenário brasileiro
No Brasil, o tema importa porque parte das exchanges locais lista tokens cujo único acesso à liquidez global passa por pontes cross-chain. Quando bridges sofrem ataques, tokens perdem paridade rapidamente, dificultando saídas antecipadas de investidores brasileiros em corretoras. A CVM ainda não tratou pontes como infraestrutura crítica em sua agenda de tokenização, apesar do avanço do marco regulatório do Banco Central.
O maior baque do ano para o setor segue sendo o hack do rsETH em abril, que somou US$ 290 milhões em perdas e arrastou todo o segmento de restaking. Outros episódios relevantes incluem o ataque de US$ 2,5 milhões à Hyperbridge ocorrido dias depois de a equipe fazer piada sobre ser hackeada no Dia da Mentira e o já citado caso da THORChain, criticada de forma recorrente por inação diante do uso de seus contratos para lavagem de fundos ilícitos. Dados públicos podem ser consultados no painel da DeFiLlama sobre o protocolo.
