Bagaimana Peretasan Bridge Verus–Ethereum $11,6 Juta Terjadi

Perusahaan keamanan blockchain seperti Blockaid dan PeckShield mendeteksi aktivitas mencurigakan saat serangan berlangsung dan memperingatkan pengguna agar tidak berinteraksi dengan bridge tersebut.

Kerentanan Inti: Validasi Jumlah Cross‑Chain yang Hilang

Analisis keamanan menunjukkan bahwa masalah utamanya ada pada logika verifikasi lintas‑chain pada bridge.

Kedua sisi sistem memang melakukan beberapa pemeriksaan validitas pesan. Namun ada satu pemeriksaan penting yang tidak dilakukan: memastikan bahwa jumlah aset yang disetor di chain sumber sama dengan jumlah yang dibayarkan di Ethereum.

Dalam praktiknya, ini berarti:

• Bridge memverifikasi struktur pesan dan keaslian data transfer.
• Tetapi tidak memastikan bahwa deposit di chain asal benar‑benar mendukung jumlah penarikan di Ethereum.

Akibat celah ini, penyerang dapat membuat pesan transfer yang terlihat valid bagi sistem, tetapi meminta pembayaran jauh lebih besar dari deposit sebenarnya.

Peneliti keamanan menggambarkan bug ini sebagai celah logika kecil namun kritis yang sebenarnya bisa diperbaiki hanya dengan beberapa baris kode Solidity.

Yang penting: eksploit ini bukan akibat kunci privat dicuri, kriptografi rusak, atau tanda tangan digital dibypass—melainkan murni kesalahan validasi dalam kode bridge.

Berapa Dana yang Dicuri dan Dikembalikan

Serangan awal menguras sekitar $11,58 juta dari cadangan bridge.

Tidak lama setelah itu, tim Verus menawarkan kesepakatan: jika penyerang mengembalikan sebagian besar dana dalam waktu tertentu, mereka boleh mempertahankan sebagian sebagai hadiah bounty.

Hasil akhirnya:

• 4.052,4 ETH dikembalikan ke tim Verus (sekitar $8,5 juta)
• 1.350 ETH dipertahankan oleh penyerang sebagai bounty (sekitar $2,8 juta)

Artinya sekitar 75% dari dana yang dicuri berhasil dipulihkan melalui negosiasi.

Mengapa Proyek DeFi Kadang Bernegosiasi dengan Peretas

Pendekatan Verus mencerminkan strategi yang semakin umum di dunia decentralized finance (DeFi). Karena semua transaksi blockchain dapat dilacak secara publik, tim proyek sering memilih negosiasi langsung dengan pelaku ketika dana masih terlihat di jaringan.

Biasanya proses ini melibatkan:

• pesan publik atau on‑chain kepada penyerang
• tawaran bounty sebagai insentif pengembalian dana
• batas waktu tertentu untuk menyelesaikan kesepakatan

Analisis keamanan menunjukkan pendekatan ini kadang cukup efektif. Dalam satu tinjauan insiden DeFi, terdapat lebih dari 200 eksploit pada 2024, dengan sekitar $220 juta berhasil dipulihkan melalui tindakan white‑hat atau negosiasi—sekitar 15% tingkat pemulihan.

Mengapa Cross‑Chain Bridge Jadi Target Utama

Insiden Verus juga menyoroti masalah struktural pada bridge.

Bridge harus memverifikasi bahwa suatu peristiwa di blockchain A benar‑benar valid sebelum mengeksekusi transaksi di blockchain B. Jika ada kelemahan dalam proses verifikasi tersebut, penyerang dapat menarik atau mencetak aset tanpa deposit yang sah.

Data keamanan menunjukkan skala risikonya: hingga Mei 2026 sudah terjadi delapan peretasan bridge dengan total kerugian sekitar $328,6 juta.

Likuiditas besar yang tersimpan dalam bridge, ditambah kompleksitas verifikasi lintas‑chain, membuat infrastruktur ini menjadi target yang sangat menarik bagi penyerang.

Pelajaran dari Insiden Ini

Eksploit bridge Verus–Ethereum menunjukkan bagaimana satu pemeriksaan validasi yang hilang dapat memicu kerugian jutaan dolar. Pesan cross‑chain palsu berhasil melewati sistem dan memicu pembayaran yang sebenarnya sah secara kontrak.

Pada saat yang sama, penyelesaian kasus ini menunjukkan realitas keamanan DeFi saat ini: ketika eksploit sudah terjadi, negosiasi dan kesepakatan bounty sering menjadi alat darurat untuk memulihkan dana sambil tim pengembang memperbaiki kerentanan dan mencoba memulihkan kepercayaan pengguna.