攻撃の概要
調査によると、攻撃者はtBTC、ETH、USDCなどの資産を流出させた後、盗まれた資金をETHに交換しました。セキュリティ研究者は、攻撃者のウォレットが攻撃が行われる直前にTornado Cashを通じて資金提供されていたことを指摘しています。
脆弱性と影響
DeFiプロトコルのVerusは、Ethereumブリッジに関する大規模な脆弱性に対処していると報じられています。ブロックチェーンセキュリティ企業は、攻撃者が約1158万ドルのデジタル資産を流出させたと推定しています。この事件は、日曜日の遅くにオンチェーンセキュリティプラットフォームBlockaidによって最初に指摘され、攻撃者のウォレット「0x5aBb」で始まる疑わしい活動が確認されました。
盗まれた資金が「C25F9」で終わる別のアドレスに保管されていることが報告されました。
PeckShieldのセキュリティ研究者は後に攻撃の詳細を提供し、Verus-Ethereumブリッジが攻撃中に約103.6 tBTC、1,625 ETH、147,000 USDCを失ったと主張しました。同社によると、攻撃者は盗まれた資産を迅速に約5,402 ETHに交換し、現在の市場価格で約1140万ドルに相当します。
攻撃のメカニズム
PeckShieldはまた、攻撃者のウォレットが最初にTornado Cashを通じて資金提供されていたことを明らかにしました。このアドレスは、攻撃が発生する約14時間前に1 ETHを受け取っていました。
別のブロックチェーンセキュリティ会社GoPlusは、この脆弱性がブリッジのトランザクション検証システムの高度な欠陥に関与している可能性があると示唆しました。同社は、攻撃者がブリッジ契約に対して低価値のトランザクションを送信し、その後、リザーブ資産を直接ドレイナーウォレットにバッチ転送する機能をトリガーしたと述べています。
GoPlusは、この事件がクロスチェーンメッセージ検証の失敗、署名偽造の脆弱性、引き出しロジックのバイパス、またはブリッジインフラストラクチャのアクセス制御の弱点に関連している可能性があると付け加えました。
Verusの背景
この種の脆弱性は、特に大規模なロック流動性プールを管理するクロスチェーンブリッジにおいて、攻撃者の非常に一般的な標的となっています。Verusは2018年に設立され、プルーフ・オブ・ワークとプルーフ・オブ・ステークの要素を組み合わせたハイブリッド「プルーフ・オブ・パワー」コンセンサスメカニズムを使用するプライバシー重視のブロックチェーンネットワークです。Ethereumブリッジは2023年10月に導入され、ユーザーがVerusエコシステムとEthereum間で資産を転送および変換できるように設計されています。
