Bagaimana Eksploit Verus‑Ethereum Bridge Menguras Sekitar $11,5 Juta
Sekitar $11,5–$11,58 juta aset kripto dilaporkan hilang dari bridge Verus‑Ethereum pada 18 Mei 2026 setelah penyerang memanfaatkan celah validasi pada kontrak pintar yang memproses transfer lintas‑chain. Penyerang menarik ETH, tBTC, dan USDC dari cadangan bridge lalu menukarnya menjadi sekitar 5.402 ETH untuk memper...
What happened in the $11.5 million Verus-Ethereum bridge exploit, how did the attacker use a missing validation check to drain funds despiteThe Verus‑Ethereum bridge exploit shows how a small validation gap can allow attackers to withdraw unbacked assets even when cryptographic proofs appear valid.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: What happened in the $11.5 million Verus-Ethereum bridge exploit, how did the attacker use a missing validation check to drain funds despite. Article summary: The Verus-Ethereum bridge exploit appears to have been an authorization/validation failure, not a failure of the bridge’s cryptographic proof system. Reports say the bridge accepted valid-looking notarized roots and Merk. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "On May 18, cybersecurity firm Blockaid posted on X that its vulnerability detection system has discovered an attack on the Verus Ethereum cross-chain bridge, leading to approximate" source context "Verus Ethereum Cross-Chain Bridge Hacked, Loses ... - Lookonchain" Reference image 2: visual subject "On May 18, cyb
openai.com
Cross‑chain bridge dibuat untuk memindahkan aset kripto secara aman antara dua blockchain yang berbeda. Namun eksploit pada bridge Verus‑Ethereum pada Mei 2026 menunjukkan bahwa bahkan sistem yang memiliki bukti kriptografi yang benar tetap bisa gagal jika logika validasi dalam kontrak pintar memiliki celah kecil.
Investigasi awal menyebutkan penyerang berhasil menguras sekitar $11,5 juta hingga $11,58 juta dari cadangan bridge di sisi Ethereum setelah memanfaatkan pemeriksaan validasi yang hilang dalam kontrak pintar yang memproses transfer lintas‑chain. Aktivitas mencurigakan pertama kali terdeteksi oleh sistem pemantauan keamanan blockchain.
Kronologi Eksploit Verus Bridge
Serangan mulai terdeteksi pada 18 Mei 2026, ketika alat pemantauan keamanan melihat transaksi tidak biasa keluar dari kontrak bridge Verus‑Ethereum. Estimasi kerugian dengan cepat berkisar di angka sekitar $11,5 juta dalam aset kripto.
Data on‑chain menunjukkan penyerang menarik beberapa aset dari cadangan bridge, termasuk:
ETH
tBTC (tokenized Bitcoin)
USDC
Salah satu laporan mencatat transfer sekitar 1.625,36 ETH, 103,56 tBTC, dan sekitar 147.658 USDC ke satu alamat dompet yang dikendalikan penyerang sebelum kemudian dipindahkan atau ditukar lebih lanjut.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Bagaimana Eksploit Verus‑Ethereum Bridge Menguras Sekitar $11,5 Juta"?
Sekitar $11,5–$11,58 juta aset kripto dilaporkan hilang dari bridge Verus‑Ethereum pada 18 Mei 2026 setelah penyerang memanfaatkan celah validasi pada kontrak pintar yang memproses transfer lintas‑chain.
Apa poin penting yang harus divalidasi terlebih dahulu?
Sekitar $11,5–$11,58 juta aset kripto dilaporkan hilang dari bridge Verus‑Ethereum pada 18 Mei 2026 setelah penyerang memanfaatkan celah validasi pada kontrak pintar yang memproses transfer lintas‑chain. Penyerang menarik ETH, tBTC, dan USDC dari cadangan bridge lalu menukarnya menjadi sekitar 5.402 ETH untuk mempermudah pergerakan atau pencucian dana di blockchain.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Peneliti keamanan mengatakan bug tersebut kemungkinan bisa dicegah dengan satu pemeriksaan validasi tambahan pada kontrak, mengingatkan pada pola kegagalan bridge sebelumnya seperti Wormhole dan Nomad.
Setelah itu, aset yang dicuri ditukar dan digabungkan menjadi sekitar 5.402 ETH, kemungkinan untuk mempermudah pencucian dana atau pemindahan lintas jaringan berikutnya.
Mengapa Bukti Kriptografi Terlihat “Valid”
Yang membuat kasus ini menarik adalah sistem verifikasi kriptografi bridge sebenarnya dilaporkan berfungsi dengan benar.
Bridge Verus menggunakan state root yang dinotariskan dan Merkle proof untuk memastikan bahwa sebuah transaksi benar‑benar terjadi di blockchain sumber sebelum dana dilepas di Ethereum. Bukti ini memverifikasi bahwa suatu pesan memang ada dalam state blockchain sumber.
Masalahnya: Merkle proof hanya membuktikan bahwa data ada dalam sebuah blok atau state tree, bukan bahwa data tersebut secara ekonomi valid atau benar‑benar didukung oleh dana yang terkunci.
Peneliti menemukan bahwa kontrak bridge:
berhasil memverifikasi state root yang dinotariskan
berhasil memverifikasi Merkle proof
tetapi tidak memastikan bahwa jumlah transfer benar‑benar didukung oleh aset yang terkunci di chain sumber.
Akibatnya, penyerang dapat membuat data transfer lintas‑chain yang lolos verifikasi kriptografi tetapi tetap memicu penarikan dana yang lebih besar dari cadangan yang sebenarnya tersedia.
Singkatnya: bukti tersebut mengautentikasi pesan, tetapi kontrak tidak memeriksa apakah pesan itu benar‑benar mengizinkan pembayaran yang dijalankan.
Celah Validasi yang Hilang
Peneliti keamanan menganggap insiden ini sebagai contoh klasik kegagalan validasi logika bisnis dalam smart contract.
Menurut analisis awal, kontrak di Ethereum seharusnya memverifikasi beberapa parameter penting dari transfer lintas‑chain, seperti:
jenis token
jumlah transfer
alamat penerima
kondisi akuntansi cadangan bridge
Karena pemeriksaan ini tidak sepenuhnya diterapkan, kontrak mengizinkan penarikan yang tidak benar‑benar didukung oleh deposit di chain sumber.
Laporan juga menyebutkan bahwa penyerang hanya membutuhkan biaya transaksi sekitar $10 dalam VRSC di sisi Verus untuk memicu penarikan bernilai jutaan dolar di Ethereum.
Karena masalahnya adalah logika validasi yang hilang—bukan kegagalan kriptografi—pengembang dilaporkan menyiapkan patch Solidity untuk menutup celah tersebut setelah ditemukan.
Kemiripan dengan Hack Bridge Wormhole dan Nomad
Eksploit Verus mengikuti pola yang pernah terlihat pada beberapa serangan bridge besar di masa lalu.
Wormhole (2022)
Pada Februari 2022, Wormhole bridge diretas setelah penyerang berhasil melewati proses verifikasi tanda tangan dan mencetak 120.000 wrapped ETH (wETH) tanpa jaminan, dengan nilai lebih dari $320 juta pada saat itu.
Sistem dibuat percaya bahwa dana telah disetor padahal sebenarnya tidak.
Nomad (2022)
Pada Agustus 2022, Nomad bridge kehilangan sekitar $190 juta setelah kesalahan konfigurasi membuat pesan tertentu otomatis dianggap valid. Hal ini memungkinkan banyak penyerang meniru transaksi dan menarik dana dari kontrak bridge.
Posisi Kasus Verus
Kasus Verus terlihat lebih mirip dengan Nomad daripada Wormhole. Dalam kedua kasus tersebut:
sistem menerima pesan atau bukti sebagai valid
tetapi logika yang memeriksa apa yang diizinkan oleh pesan tersebut ternyata salah.
Akibatnya, dana dapat ditarik tanpa dukungan jaminan yang sebenarnya.
Mengapa Cross‑Chain Bridge Masih Berisiko Tinggi
Bridge tetap menjadi salah satu target utama serangan di ekosistem DeFi karena menggabungkan banyak komponen kompleks sekaligus, termasuk:
verifikasi bukti kriptografi
pengiriman pesan lintas‑chain
akuntansi smart contract
penyimpanan cadangan aset bernilai besar
Jika salah satu bagian dalam proses validasi gagal—bahkan hanya satu pemeriksaan kecil—sistem dapat mengizinkan penarikan dana yang melebihi jaminan sebenarnya.
Kasus Verus menegaskan pelajaran penting: “bukti valid” tidak selalu berarti “transfer sah.” Kontrak pintar tetap harus menegakkan aturan akuntansi yang ketat terkait jumlah, jenis aset, penerima, dan perlindungan replay.
Pertanyaan Selanjutnya: Pemulihan Dana dan Asuransi
Ketika laporan awal muncul, detail resmi tentang pemulihan dana atau kompensasi pengguna masih terbatas. Beberapa laporan juga mencatat bahwa konfirmasi resmi dari tim proyek masih berkembang pada saat berita pertama kali muncul.
Jika dana yang dicuri tidak dapat dipulihkan, kompensasi kemungkinan bergantung pada beberapa faktor, seperti:
cadangan treasury proyek
keputusan tata kelola (governance) protokol
negosiasi dengan penyerang
kemungkinan perlindungan asuransi DeFi pihak ketiga
Dalam industri DeFi yang lebih luas, insiden ini kembali memicu perdebatan tentang apakah kegagalan bridge harus dikategorikan sebagai bug smart contract, kegagalan infrastruktur, atau risiko desain sistem—perbedaan yang penting bagi penyedia asuransi kripto.
Pelajaran Besar untuk Ekosistem DeFi
Eksploit Verus‑Ethereum menunjukkan bahwa kerentanan paling berbahaya sering kali bukan pada kriptografi, melainkan pada kesalahan kecil dalam logika validasi kontrak.
Sebuah bridge bisa memverifikasi tanda tangan, bukti, dan state root dengan sempurna—tetapi tetap rentan jika kontrak tidak memastikan bahwa data yang dibuktikan benar‑benar mengotorisasi transfer yang sedang dieksekusi.
Perbedaan kecil ini telah menyebabkan kerugian miliaran dolar di berbagai insiden bridge dalam beberapa tahun terakhir. Kasus Verus menjadi pengingat terbaru bahwa dalam sistem lintas‑chain, keamanan bergantung pada akuntansi kontrak yang benar sama kuatnya dengan kriptografi yang digunakan.
merklescience.comHack Track: Analysis of the Wormhole Token Bridge Exploit
Comments
0 comments