Angreb på DeFi-protokollen Verus
Efterforskere har oplyst, at angriberen har drænet aktiver, herunder tBTC, ETH og USDC, før de ombyttede de stjålne midler til ETH. Sikkerhedsforskere har også påpeget, at angriberens tegnebog oprindeligt blev finansieret gennem Tornado Cash kort før udnyttelsen fandt sted.
Omfanget af udnyttelsen
DeFi-protokollen Verus rapporteres at have været udsat for en stor udnyttelse, der involverer dens Ethereum-bro. Blockchain-sikkerhedsfirmaer estimerer, at angriberen allerede har drænet cirka 11,58 millioner dollar i digitale aktiver.
Hændelsen blev først påpeget sent søndag af on-chain sikkerhedsplatformen Blockaid, som identificerede mistænkelig aktivitet knyttet til en angribertegnebog, der begyndte med “0x5aBb”, og bemærkede, at de stjålne midler blev opbevaret på en anden adresse, der sluttede med “C25F9.”
Detaljer om angrebet
Sikkerhedsforskere fra PeckShield gav senere flere detaljer om angrebet og hævdede, at Verus-Ethereum-broen mistede omkring 103,6 tBTC, 1.625 ETH og 147.000 USDC under udnyttelsen. Ifølge firmaet ombyttede angriberen hurtigt de stjålne aktiver til cirka 5.402 ETH, der var værd omkring 11,4 millioner dollar til de nuværende markedspriser.
PeckShield afslørede også, at angriberens tegnebog oprindeligt blev finansieret gennem Tornado Cash, den kryptomiksningstjeneste, der ofte er forbundet med anonyme transaktioner. Adressen modtog 1 ETH omkring 14 timer før udnyttelsen fandt sted.
Mulige årsager til udnyttelsen
Et andet blockchain-sikkerhedsfirma, GoPlus, foreslog, at udnyttelsen kan have involveret en sofistikeret fejl i broens transaktionsvalideringssystem. Firmaet udtalte, at angriberen tilsyneladende sendte en lavværdi-transaktion til brokontrakten, før de aktiverede en funktion, der gjorde det muligt at overføre reserveaktiver direkte til drænerens tegnebog.
GoPlus tilføjede, at hændelsen kunne være knyttet til fejl i validering af tværkædetransaktioner, sårbarheder ved signaturforfalskning, omgåelse af tilbagetrækningslogik eller adgangskontrolsvagheder i broens infrastruktur. Disse typer sårbarheder er blevet meget almindelige mål for angribere i decentraliseret finansiering, især for tværkædebroer, der håndterer store puljer af låst likviditet.
Om Verus
Verus blev lanceret i 2018 og er et privatlivsfokuseret blockchain-netværk, der opererer ved hjælp af en hybrid “proof-of-power” konsensusmekanisme, der kombinerer elementer fra proof-of-work og proof-of-stake. Dens Ethereum-bro blev introduceret i oktober 2023 og blev designet til at give brugerne mulighed for at overføre og konvertere aktiver mellem Verus-økosystemet og Ethereum.
