El atacante del ataque al puente Verus devuelve el 75% de los fondos robados, dejando 1350 monedas como recompensa reservada

PeckShield 監测确认，el 22 de mayo, el atacante del puente cross-chain de Verus-Ethereum ya ha devuelto 4.052,4 ETH (aproximadamente 8,5 millones de dólares) a la dirección oficial de Verus. Esto representa el 75% del total combinado de los activos robados, que asciende a 5.402,4 ETH; el remanente de 1.350 ETH (aproximadamente 2,85 millones de dólares, 25%) se conserva en la cartera del atacante como recompensa por la vulnerabilidad.

Mecanismo del ataque: cómo un “agujero” de validación de entradas permite robar activos de decenas de millones con bajo coste

Verus y el análisis on-chain confirmaron que este ataque no fue consecuencia de una filtración de claves privadas ni de la falsificación de firmas, sino del aprovechamiento de una vulnerabilidad estructural en el “agujero de validación de entradas” del contrato de puente: el atacante inició una transacción real y de bajo valor en la cadena de Verus (aprox. 0,01 dólares en VRSC), pero inyectó en el Payload (carga útil) de la transferencia cross-chain una cantidad de tokens mucho mayor que el importe realmente bloqueado. El contrato de puente, al no verificar en la fase de validación si el monto declarado en el Payload coincide con el monto real bloqueado en la cadena de origen, fue engañado y liberó fondos de reserva del puente muy por encima del importe efectivamente transferido. Tras el incidente, la red de Verus suspendió temporalmente la operación y la mayoría de los nodos de generación de bloques se desconectaron voluntariamente para evitar pérdidas adicionales.

Términos confirmados de negociación de la recompensa on-chain y límites de exención

En una propuesta on-chain del 21 de mayo, Verus confirmó los siguientes términos, que ya se han registrado como un acuerdo formal en la cadena de Ethereum:

Requisito de devolución: 4.052,4 ETH deben devolverse a la dirección designada antes de la fecha límite de 24 horas

Reconocimiento de recompensa: una vez completada la devolución, Verus reconocerá formalmente como legítima la recompensa por vulnerabilidad de 1.350 ETH retenidas

Compromiso de investigación: Verus hará todo lo posible para detener la investigación existente y evitar iniciar nuevas investigaciones

Compromiso legal: Verus se abstendrá de presentar demandas

Declaración pública: Verus reconocerá públicamente la naturaleza de recompensa de las fondos retenidos

Límite importante: los compromisos anteriores no vinculan a los organismos encargados de hacer cumplir la ley, exchanges, proveedores de infraestructura u otros terceros; este acuerdo solo representa la postura oficial de Verus

Preguntas frecuentes

¿Cuál es el significado técnico concreto del “agujero de validación de entradas” del puente cross-chain de Verus?

El “agujero de validación” (Validation Gap) se refiere a que, cuando el contrato de puente procesa solicitudes de transferencia cross-chain, no compara ni valida la coincidencia entre el monto de tokens declarado en el Payload y el monto real bloqueado en la cadena de origen. Esto permite que el atacante inicie en la cadena de origen una transacción legal por un importe extremadamente bajo (aprox. 0,01 dólares), mientras declara en el Payload un monto mucho mayor que el valor real. El contrato del puente en la cadena objetivo confía erróneamente en el número del Payload y libera fondos de reserva muy superiores al valor real. Este tipo de vulnerabilidad corresponde a un defecto de diseño a nivel de lógica de contratos inteligentes, y pertenece a la misma categoría de patrón de ataque de puente que el “agujero de validación de reintentos” (Retry Messages Validation Gap) de Map Protocol Butter Bridge V3.1.

¿El 25% de la proporción de la recompensa es un arreglo común en negociaciones de ataques a puentes en DeFi?

La proporción del 25% en recompensas por vulnerabilidades tradicionales es relativamente alta, pero no es raro en negociaciones para recuperar ataques a puentes cuando los fondos ya se han fusionado y es difícil congelarlos. En estos casos, las partes del proyecto suelen ofrecer recompensas a cambio de que el atacante devuelva voluntariamente los fondos, para evitar que el dinero desaparezca por completo mediante mezcladores o herramientas de privacidad. El incidente previo de Renegade Dark Pool también utilizó un patrón similar de negociación on-chain: al permitir que el atacante retuviera una parte de los activos como contrapartida, se recuperó la mayor parte de los fondos.

¿Los compromisos del acuerdo de Verus pueden proteger eficazmente al atacante frente a acciones legales?

En el acuerdo, Verus declara explícitamente que sus compromisos (detener la investigación, no presentar demandas) solo vinculan a la propia parte del proyecto de Verus y no pueden vincular a organismos encargados de hacer cumplir la ley, exchanges, sistemas KYC de exchanges o proveedores de infraestructura de blockchain, ni a otros terceros. Esto significa que, si después de devolver los fondos el atacante sigue siendo rastreado por organismos encargados de hacer cumplir la ley, sistemas KYC de exchanges o empresas de análisis on-chain, los compromisos de Verus no pueden usarse como base de exención. Además, antes de aceptar el esquema de la recompensa, el atacante completó la mezcla del capital inicial usando Tornado Cash 14 horas antes, lo que también podría aumentar la dificultad del seguimiento posterior por parte de las autoridades.