攻击事件概述
调查人员表示,攻击者在盗取资产后,包括tBTC、ETH和USDC,随后将被盗资金兑换为ETH。安全研究人员指出,攻击者的钱包在漏洞发生前不久是通过Tornado Cash进行资金注入的。
漏洞影响与损失
去中心化金融协议Verus目前正面临一起涉及其以太坊桥接的重大漏洞。区块链安全公司估计,攻击者已经盗取了大约1158万美元的数字资产。该事件最早是在周日晚上被链上安全平台Blockaid指出的,该平台发现与一个以“0x5aBb”开头的攻击者钱包相关的可疑活动,并注意到被盗资金被存储在另一个以“C25F9”结尾的地址中。
攻击细节
PeckShield的安全研究人员随后提供了关于此次攻击的更多细节,并声称Verus以太坊桥接在此次漏洞中损失了约103.6 tBTC、1625 ETH和147,000 USDC。根据该公司的说法,攻击者迅速将被盗资产兑换为约5402 ETH,按当前市场价格估算约为1140万美元。
资金注入与攻击手法
PeckShield还透露,攻击者的钱包最初是通过Tornado Cash进行资金注入的,这是一种通常与匿名交易相关的加密混合服务。该地址在漏洞发生前约14小时收到了1 ETH。
漏洞原因分析
另一家区块链安全公司GoPlus表示,此次漏洞可能涉及桥接的交易验证系统中的复杂缺陷。该公司指出,攻击者似乎向桥接合约发送了一笔低价值交易,然后触发了一个功能,使得可以将储备资产批量转移到盗取者的钱包中。
GoPlus补充说,此事件可能与跨链消息验证失败、签名伪造漏洞、提款逻辑绕过或桥接基础设施中的访问控制弱点有关。这些类型的漏洞已成为去中心化金融中攻击者的常见目标,尤其是对于管理大量锁定流动性的跨链桥接。
关于Verus
Verus成立于2018年,是一个以隐私为中心的区块链网络,采用混合的“权力证明”共识机制,结合了工作量证明和权益证明的元素。其以太坊桥接于2023年10月推出,旨在允许用户在Verus生态系统和以太坊之间转移和转换资产。
