Pag-atake sa Verus Ethereum Bridge
Ayon sa mga imbestigador, ang umaatake ay nag-alis ng mga asset tulad ng tBTC, ETH, at USDC bago ipagpalit ang mga ninakaw na pondo sa ETH. Itinuro rin ng mga mananaliksik sa seguridad na ang wallet ng umaatake ay unang pinondohan sa pamamagitan ng Tornado Cash ilang sandali bago naganap ang exploit.
Detalye ng Insidente
Ang DeFi protocol na Verus ay iniulat na nakaranas ng isang malaking exploit na kinasasangkutan ang kanilang Ethereum bridge. Tinataya ng mga kumpanya ng seguridad sa blockchain na ang mga umaatake ay nakapag-alis ng humigit-kumulang $11.58 milyon sa mga digital na asset.
“Ang insidente ay unang itinuro noong Linggo ng gabi ng on-chain security platform na Blockaid, na nakilala ang kahina-hinalang aktibidad na konektado sa isang wallet ng umaatake na nagsisimula sa “0x5aBb” at itinuro na ang mga ninakaw na pondo ay nakaimbak sa ibang address na nagtatapos sa “C25F9.””
Mga Nakasangkot na Asset
Ang mga mananaliksik mula sa PeckShield ay nagbigay ng karagdagang detalye tungkol sa pag-atake, at inangkin na ang Verus-Ethereum bridge ay nawalan ng humigit-kumulang 103.6 tBTC, 1,625 ETH, at 147,000 USDC sa panahon ng exploit. Ayon sa kumpanya, mabilis na ipinalit ng umaatake ang mga ninakaw na asset sa humigit-kumulang 5,402 ETH, na tinatayang nagkakahalaga ng halos $11.4 milyon sa kasalukuyang presyo ng merkado.
Mga Teknikal na Isyu
Ipinahayag din ng PeckShield na ang wallet ng umaatake ay unang pinondohan sa pamamagitan ng Tornado Cash, ang crypto mixing service na kadalasang nauugnay sa mga anonymous na transaksyon. Ang address ay nakatanggap ng 1 ETH mga 14 na oras bago naganap ang exploit.
Isang iba pang kumpanya sa seguridad ng blockchain, ang GoPlus, ay nagmungkahi na ang exploit ay maaaring kinasangkutan ng isang sopistikadong depekto sa sistema ng pag-validate ng transaksyon ng bridge. Sinabi ng kumpanya na tila nagpadala ang umaatake ng isang mababang halaga ng transaksyon sa kontrata ng bridge bago nito pinagana ang isang function na nagbigay-daan sa batch transfer ng mga reserve asset nang direkta sa wallet ng drainer.
Mga Kahinaan sa Seguridad
Idinagdag ng GoPlus na ang insidente ay maaaring maiugnay sa mga pagkukulang sa cross-chain message validation, mga kahinaan sa signature forgery, mga bypass ng withdrawal logic, o mga kahinaan sa access control sa imprastruktura ng bridge. Ang mga ganitong uri ng kahinaan ay naging karaniwang target para sa mga umaatake sa decentralized finance, partikular para sa mga cross-chain bridges na namamahala sa malalaking pool ng naka-lock na liquidity.
Background ng Verus
Ang Verus ay inilunsad noong 2018 at ito ay isang privacy-focused blockchain network na nagpapatakbo gamit ang hybrid na “proof-of-power” consensus mechanism na pinagsasama ang mga elemento ng proof-of-work at proof-of-stake. Ang kanilang Ethereum bridge ay ipinakilala noong Oktubre ng 2023 at dinisenyo upang payagan ang mga gumagamit na maglipat at mag-convert ng mga asset sa pagitan ng Verus ecosystem at Ethereum.
