Verus ponte de cadeia cruzada hacker devolve 75% dos fundos roubados, a parte do protocolo aceita acordo e não toma providências

Atacantes devolvem 4.052 ETH (cerca de 8,5 milhões de dólares), mantendo 1.350 ETH como recompensa — O roubo na ponte cross-chain da Verus terminou em negociação, mas a questão se a mecânica de recompensas incentiva uma postura de “atacar primeiro, negociar depois” gerou debate.
(Resumindo: A ponte cross-chain da Verus na Ethereum foi atacada! Blockaid monitora: perdas superiores a 11,58 milhões de dólares)
(Informação adicional: Após o hack na THORChain, foi lançada uma proposta de recuperação: perdas de milhões de dólares absorvidas pelo protocolo, destruindo $RUNE do atacante)

Índice deste artigo

Alternar

• Resultados da negociação e detalhes do retorno de fundos
• Reações da comunidade polarizadas: exemplo ou incentivo?
• Revisão: trajetória histórica de ataques a pontes cross-chain
• Modelo de recompensa: a faca de dois gumes da segurança DeFi

O incidente na ponte cross-chain da Verus na Ethereum, ocorrido em meados de maio, avançou significativamente após dias de negociações. O atacante hoje devolveu voluntariamente cerca de 4.052 ETH, avaliado em aproximadamente 8,5 milhões de dólares, representando 75% dos 5.402 ETH (cerca de 11,58 milhões de dólares) inicialmente roubados. A equipe da Verus anunciou que aceitou o resultado da negociação, concordando em não processar legalmente o hacker, e considerou os 1.350 ETH restantes (aproximadamente 2,8 milhões de dólares) como uma recompensa de white hat, como reconhecimento pelo descobrimento e divulgação da vulnerabilidade.

Resultados da negociação e detalhes do retorno de fundos

Dados na blockchain mostram que esses fundos devolvidos foram transferidos em lotes do endereço do atacante para uma carteira oficial designada pela Verus. As partes não divulgaram detalhes completos da negociação, mas a comunidade acredita que se tratou de uma negociação liderada pela equipe da Verus, no estilo de uma “recompensa por divulgação de vulnerabilidade”. O atacante publicou uma declaração nas plataformas sociais, enfatizando que não se tratou de um roubo malicioso, mas de uma ação para incentivar a atenção do protocolo à segurança, agradecendo à equipe por estar disposta a resolver de forma construtiva.

Reações da comunidade polarizadas: exemplo ou incentivo?

No entanto, dentro da comunidade da Verus, as opiniões sobre esse resultado divergem. Alguns membros consideram que esse caso é um exemplo na história da segurança DeFi, pois reduziu perdas por negociação, evitou longas ações judiciais e recuperou a maior parte dos fundos; outros criticam, dizendo que isso incentiva uma cultura de “atacar primeiro, negociar depois”, permitindo que hackers saiam com lucros substanciais.

Revisão: trajetória histórica de ataques a pontes cross-chain

Na verdade, esse padrão não é exclusivo de um único incidente. Em julho de 2021, a THORChain foi atacada, com perdas de cerca de 5 milhões de dólares, e após uma comunicação pública, o atacante devolveu grande parte dos fundos e recebeu uma recompensa de 10%. No mesmo ano, em agosto, a Poly Network sofreu um ataque de 610 milhões de dólares; sob pressão da opinião pública e negociações com o protocolo, o hacker devolveu quase todos os fundos, sem que o protocolo tomasse ações legais. Esses casos seguem uma trajetória semelhante ao da Verus: os atacantes não agiram apenas por lucro, mas com o objetivo de “revelar vulnerabilidades”, e os protocolos ofereceram recompensas como incentivo para o retorno dos fundos.

Em contraste, os ataques às pontes Wormhole (perda de 320 milhões de dólares) no início de 2022 e Ronin (perda de 620 milhões de dólares) tiveram desfechos completamente diferentes. A Wormhole foi totalmente ressarcida pela Jump Crypto, sua matriz, e o atacante até hoje não foi capturado; já o ataque à Ronin foi atribuído ao grupo Lazarus, da Coreia do Norte, com fundos difíceis de recuperar, dependendo de ações de autoridades para congelar ativos. Esses eventos demonstram que “negociar recompensas” não é uma solução mágica, e o sucesso de uma resolução muitas vezes depende da identidade e motivação do atacante.

Modelo de recompensa: a faca de dois gumes da segurança DeFi

O papel do sistema de recompensas na ecologia de segurança DeFi torna-se cada vez mais complexo. Por um lado, oferece às equipes uma ferramenta rápida para conter perdas, especialmente em fases iniciais sem mecanismos de seguro, reduzindo perdas finais. Por outro lado, esse modelo pode gerar riscos morais, levando potenciais atacantes a acreditarem que devolver a maior parte dos fundos os isenta de responsabilidade criminal e até lhes permite lucrar com recompensas. A longo prazo, os protocolos DeFi precisam focar na raiz do problema: fortalecer auditorias de código, implementar monitoramento em tempo real e mecanismos de pausa de emergência, para reduzir a ocorrência de incidentes desde a origem.

Michael J. Toutonghi, cofundador da Verus, afirmou na comunidade que esse incidente lhes proporcionou uma valiosa experiência, e que irão aprimorar a segurança dos contratos de ponte, considerando a implementação de programas de bug bounty mais robustos, permitindo que white hats reportem vulnerabilidades proativamente antes de ataques. Ele destacou que o objetivo principal do protocolo é proteger os ativos dos usuários, e que, embora o resultado atual não seja perfeito, representa a melhor solução possível diante do cenário atual.

Até o momento do fechamento desta matéria, a ponte cross-chain da Verus voltou a operar normalmente, e os fundos dos usuários estão seguros. Este incidente deixa uma lição importante para o setor de criptomoedas: quando há espaço para negociação entre atacantes e protocolos, o sistema de recompensas pode se tornar uma prática comum na segurança DeFi ou ser apenas uma medida paliativa que não resolve a raiz do problema.