Jembatan Verus Ethereum Dieksploitasi senilai $11,6M lewat Pesan Transfer Palsu

Jembatan Ethereum milik Verus Protocol dieksploitasi pada Senin melalui pesan transfer lintas-chain palsu, memungkinkan peretas secara curang mentransfer keluar setidaknya 11,58 juta dolar AS dalam bentuk kripto. Platform keamanan onchain Blockaid mengidentifikasi eksploit yang sedang berlangsung dan mendokumentasikan sebuah transaksi yang menunjukkan transfer 1.625 Ether (ETH), 147.659 USDC, dan 103,57 tBTC v2, dengan nilai lebih dari 11,5 juta dolar AS. Dana hasil curian sejak itu dikonversi menjadi Ether, dengan dompet penyerang memiliki saldo 5.402 Ether, senilai kira-kira 11,4 juta dolar AS menurut Etherscan. Perusahaan keamanan blockchain PeckShield mengonfirmasi transfer tersebut sebagai sebuah eksploit. Insiden ini mencerminkan tren lebih luas kerentanan DeFi: peretas kripto mencuri lebih dari 168,6 juta dolar AS dari 34 protokol keuangan terdesentralisasi pada kuartal pertama 2026, dengan April mencatat dua dari serangan terbesar tahun ini—the eksploit Drift Protocol senilai 280 juta dolar AS dan eksploit Kelp senilai 292 juta dolar AS.

## Rincian Eksploit

Sistem deteksi Blockaid mengidentifikasi eksploit pada Senin dan membagikan data transaksi di Etherscan. Aset yang dicuri mencakup 1.625 ETH, 147.659 USDC, dan 103,57 tBTC v2. PeckShield mengonfirmasi transfer tersebut sebagai eksploit, dengan data onchain menunjukkan dana dikonversi menjadi 5.402 Ether di dompet penyerang.

## Analisis Teknis

Blockaid menyatakan bahwa insiden Verus Protocol mirip dengan eksploit Jembatan Nomad senilai 190 juta dolar AS dan eksploit Wormhole senilai 325 juta dolar AS dari 2022. Penyerang mengeksploitasi jembatan dengan menipu protokol agar menganggap instruksi transfer adalah nyata, sehingga jembatan mengirim dana dari cadangannya ke dompet penyerang.

Blockaid mengidentifikasi penyebab utama sebagai validasi sumber-amount yang hilang di checkCCEValues, yang membutuhkan sekitar 10 baris kode Solidity untuk diperbaiki. Perusahaan keamanan menegaskan bahwa ini adalah "BUKAN bypass ECDSA. BUKAN kompromi kunci notaris. BUKAN bug parser/hash-binding."

Penyedia keamanan blockchain ExVul mencapai kesimpulan serupa, dengan menyatakan bahwa penyerang menggunakan "forged cross-chain import payload" yang melewati "bridge's verification flow" dan menghasilkan "three attacker-attached transfers to the drainer wallet."

## Rekomendasi Keamanan

ExVul merekomendasikan bahwa "cross-chain import proofs harus mengikat setiap efek transfer hilir ke data payload yang diautentikasi sebelum eksekusi." Penyedia keamanan menyarankan jembatan untuk "menambahkan validasi ketat payload-to-execution, pertahanan berlapis di sekitar verifikasi proof, dan menonaktifkan aliran outbound saat impor yang tidak normal terdeteksi."

## Insiden Terkait

Eksploit Verus menyusul konfirmasi THORChain pada Sabtu bahwa pihaknya mengalami eksploit senilai 10 juta dolar AS. Insiden ini bagian dari pola serangan DeFi yang terus meningkat pada 2026.