Überblick über den Exploit
Ermittler berichteten, dass der Angreifer Vermögenswerte wie tBTC, ETH und USDC abgezogen hat, bevor er die gestohlenen Gelder in ETH umtauschte. Sicherheitsforscher wiesen darauf hin, dass die Wallet des Angreifers kurz vor dem Exploit über Tornado Cash finanziert wurde.
Details zum Vorfall
Das DeFi-Protokoll Verus hat Berichten zufolge mit einem erheblichen Exploit zu kämpfen, der seine Ethereum-Brücke betrifft. Blockchain-Sicherheitsfirmen schätzen, dass Angreifer bereits etwa 11,58 Millionen Dollar in digitalen Vermögenswerten abgezogen haben.
Der Vorfall wurde erstmals am späten Sonntag von der On-Chain-Sicherheitsplattform Blockaid hervorgehoben, die verdächtige Aktivitäten in Verbindung mit einer Angreifer-Wallet, die mit „0x5aBb“ beginnt, identifizierte und feststellte, dass die gestohlenen Gelder in einer anderen Adresse, die mit „C25F9“ endet, gespeichert wurden.
Sicherheitsforscher von PeckShield lieferten später weitere Details über den Angriff und behaupteten, dass die Verus-Ethereum-Brücke während des Exploits etwa 103,6 tBTC, 1.625 ETH und 147.000 USDC verloren hat. Laut der Firma tauschte der Angreifer die gestohlenen Vermögenswerte schnell in etwa 5.402 ETH um, die zum aktuellen Marktpreis ungefähr 11,4 Millionen Dollar wert sind.
Finanzierung und Angriffsmuster
PeckShield enthüllte auch, dass die Wallet des Angreifers ursprünglich über Tornado Cash finanziert wurde, einem Krypto-Mischdienst, der oft mit anonymen Transaktionen in Verbindung gebracht wird. Die Adresse erhielt 1 ETH etwa 14 Stunden, bevor der Exploit stattfand.
Ein weiteres Blockchain-Sicherheitsunternehmen, GoPlus, schlug vor, dass der Exploit möglicherweise einen komplexen Fehler im Transaktionsvalidierungssystem der Brücke beinhaltete. Die Firma erklärte, dass der Angreifer anscheinend eine Transaktion mit niedrigem Wert an den Brückenvertrag gesendet hat, bevor er eine Funktion auslöste, die die Batch-Übertragung von Reservemitteln direkt an die Drainer-Wallet ermöglichte.
GoPlus fügte hinzu, dass der Vorfall mit Fehlern bei der Validierung von Cross-Chain-Nachrichten, Schwachstellen bei der Signaturfälschung, Umgehungen der Abhebungslogik oder Schwächen bei der Zugriffskontrolle in der Brückeninfrastruktur verbunden sein könnte. Diese Arten von Schwachstellen sind zu häufigen Zielen für Angreifer im Bereich der dezentralen Finanzen geworden, insbesondere für Cross-Chain-Brücken, die große Pools von gesperrter Liquidität verwalten.
Über Verus
Verus wurde 2018 gegründet und ist ein datenschutzorientiertes Blockchain-Netzwerk, das mit einem hybriden „Proof-of-Power“-Konsensmechanismus arbeitet, der Elemente von Proof-of-Work und Proof-of-Stake kombiniert. Seine Ethereum-Brücke wurde im Oktober 2023 eingeführt und wurde entwickelt, um Benutzern zu ermöglichen, Vermögenswerte zwischen dem Verus-Ökosystem und Ethereum zu übertragen und umzuwandeln.
