Um ataque hacker drenou cerca de US$ 11,58 milhões da bridge Verus-Ethereum em uma única transação no dia 17 de maio de 2026, atingindo diretamente um projeto de infraestrutura cross-chain que alegava ser resistente a falhas comuns de contratos inteligentes.

O incidente foi identificado em tempo real pela empresa de segurança blockchain Blockaid. Além disso, o caso ganhou visibilidade após análise publicada pelo perfil de inteligência on-chain @coinxtreme_en, na rede X.

Segundo os dados, o invasor recebeu aproximadamente 1.625 ETH, avaliados em cerca de US$ 3,43 milhões. Além disso, foram transferidos 103,57 tBTC, equivalentes a aproximadamente US$ 7,96 milhões, bem como 147 mil USDC, tudo em uma única operação. Posteriormente, a maior parte desses ativos foi convertida em ETH por meio da Uniswap.

Modelo de segurança da Verus é colocado à prova

O impacto do ataque foi ampliado pelo posicionamento da própria Verus no mercado. Em seu site, o projeto afirmava ser “validado por regras de protocolo, não por código personalizado”, buscando atrair usuários preocupados com vulnerabilidades típicas de contratos inteligentes.

De fato, a arquitetura da Verus utilizava provas cripto, testemunhas notariais e validação em nível de protocolo. Dessa forma, o modelo pretendia reduzir superfícies de ataque. No entanto, na prática, essa abordagem não impediu a exploração.

Conforme análises on-chain, a narrativa de que não haveria “código para explorar” tornou-se um dos pontos mais criticados após o incidente. Em outras palavras, o caso mostra que modelos teóricos de segurança nem sempre resistem às condições reais do mercado de criptomoedas.

Além disso, o episódio reforça um alerta recorrente no setor: soluções inovadoras exigem validações extensivas em ambientes reais, sobretudo quando envolvem infraestrutura crítica.

Cronologia do ataque levanta questionamentos

A sequência de eventos também chamou atenção. Cerca de dois dias antes do ataque, a equipe da Verus lançou uma atualização emergencial, identificada como versão 1.2.14-2. Segundo o comunicado, a atualização era urgente e obrigatória devido a uma vulnerabilidade não especificada.

Na sequência, dados on-chain mostraram que a carteira do invasor foi financiada via Tornado Cash entre 11 e 13 horas após o anúncio. Esse intervalo sugere possível conhecimento prévio da falha, permitindo ao atacante preparar a infraestrutura antes da execução.

Esse padrão não é isolado. Em diversos casos do setor DeFi, correções emergenciais acabam expondo vulnerabilidades antes que sejam totalmente mitigadas. Assim, cria-se uma janela crítica explorável por agentes sofisticados.

Portanto, embora atualizações sejam essenciais, a forma como são comunicadas e implementadas pode influenciar diretamente o risco de exploração.

Bridges seguem como ponto crítico no setor

As bridges cross-chain continuam entre os alvos mais frequentes no mercado cripto. Desde 2021, esse tipo de infraestrutura concentra uma parcela relevante das perdas em ataques e explorações.

O caso da Verus reforça essa tendência. Ainda que o projeto tenha adotado um modelo diferenciado, isso não substituiu auditorias independentes, verificação formal e controles operacionais robustos. Nesse sentido, medidas como pausas preventivas poderiam ter reduzido o impacto.

Além disso, a crescente complexidade desses sistemas amplia a superfície de risco. Por conseguinte, investidores e usuários devem considerar não apenas a inovação técnica, mas também o histórico de segurança e governança.

Enquanto isso, o preço do Ethereum refletiu parte da pressão do mercado. O ativo registrou queda de cerca de 10% na última semana e aproximadamente 3% nas últimas 24 horas.

Preço do ETH registra leve queda no gráfico diário. Fonte: TradingView

Em conclusão, o ataque à Verus evidencia que, apesar dos avanços tecnológicos, a segurança em sistemas cross-chain ainda enfrenta desafios relevantes. A distância entre soluções consideradas invioláveis e aquelas efetivamente seguras permanece significativa no ecossistema de criptomoedas.