Eksploitasi Besar pada Protokol DeFi Verus
Para penyelidik melaporkan bahwa penyerang berhasil menguras aset-aset seperti tBTC, ETH, dan USDC sebelum menukar dana yang dicuri menjadi ETH. Peneliti keamanan juga mengungkapkan bahwa dompet penyerang awalnya dibiayai melalui Tornado Cash, tidak lama sebelum eksploitasi terjadi.
Rincian Insiden
Protokol DeFi Verus dilaporkan mengalami eksploitasi besar yang melibatkan jembatan Ethereum-nya. Perusahaan keamanan blockchain memperkirakan bahwa penyerang telah menguras sekitar $11,58 juta dalam bentuk aset digital. Insiden ini pertama kali diungkapkan pada akhir hari Minggu oleh platform keamanan on-chain Blockaid, yang mengidentifikasi aktivitas mencurigakan terkait dengan dompet penyerang yang dimulai dengan “0x5aBb” dan mencatat bahwa dana yang dicuri disimpan di alamat lain yang diakhiri dengan C25F9.
Detail Serangan
Peneliti keamanan dari PeckShield kemudian memberikan rincian lebih lanjut tentang serangan tersebut, mengklaim bahwa jembatan Verus-Ethereum kehilangan sekitar 103,6 tBTC, 1.625 ETH, dan 147.000 USDC selama eksploitasi. Menurut perusahaan tersebut, penyerang dengan cepat menukar aset yang dicuri menjadi sekitar 5.402 ETH, yang bernilai sekitar $11,4 juta pada harga pasar saat ini.
Metode Penyerang
PeckShield juga mengungkapkan bahwa dompet penyerang awalnya dibiayai melalui Tornado Cash, layanan pencampuran cryptocurrency yang sering dikaitkan dengan transaksi anonim. Alamat tersebut menerima 1 ETH sekitar 14 jam sebelum eksploitasi terjadi.
Analisis Keamanan
Perusahaan keamanan blockchain lainnya, GoPlus, menyarankan bahwa eksploitasi ini mungkin melibatkan cacat canggih dalam sistem validasi transaksi jembatan. Mereka menyatakan bahwa penyerang tampaknya mengirim transaksi bernilai rendah ke kontrak jembatan sebelum memicu fungsi yang memungkinkan transfer batch aset cadangan langsung ke dompet penguras.
GoPlus menambahkan bahwa insiden ini bisa terkait dengan kegagalan validasi pesan lintas rantai, kerentanan pemalsuan tanda tangan, penghindaran logika penarikan, atau kelemahan kontrol akses dalam infrastruktur jembatan. Jenis kerentanan ini telah menjadi target umum bagi penyerang di sektor keuangan terdesentralisasi, terutama untuk jembatan lintas rantai yang mengelola kumpulan besar likuiditas yang terkunci.
Tentang Verus
Verus diluncurkan pada tahun 2018 dan merupakan jaringan blockchain yang berfokus pada privasi, beroperasi menggunakan mekanisme konsensus “proof-of-power” hibrida yang menggabungkan elemen proof-of-work dan proof-of-stake. Jembatan Ethereum-nya diperkenalkan pada bulan Oktober 2023 dan dirancang untuk memungkinkan pengguna mentransfer serta mengonversi aset antara ekosistem Verus dan Ethereum.
