Exploit en el Protocolo DeFi Verus
Los investigadores han informado que el atacante drenó activos, incluyendo tBTC, ETH y USDC, antes de intercambiar los fondos robados por ETH. Además, se ha señalado que la billetera del atacante fue financiada inicialmente a través de Tornado Cash poco antes de que ocurriera el exploit.
Detalles del Ataque
El protocolo DeFi Verus está enfrentando un importante exploit que involucra su puente Ethereum. Las firmas de seguridad en blockchain estiman que los atacantes han drenado aproximadamente $11.58 millones en activos digitales. El incidente fue reportado por primera vez a finales del domingo por la plataforma de seguridad en cadena Blockaid, que identificó actividad sospechosa vinculada a una billetera del atacante que comienza con “0x5aBb” y observó que los fondos robados se estaban almacenando en otra dirección que termina en <em“C25F9”.
Los investigadores de seguridad de PeckShield proporcionaron más detalles sobre el ataque, afirmando que el puente Verus-Ethereum perdió alrededor de 103.6 tBTC, 1,625 ETH y 147,000 USDC durante el exploit. Según la firma, el atacante rápidamente intercambió los activos robados por aproximadamente 5,402 ETH, valorados en alrededor de $11.4 millones a los precios actuales del mercado.
Financiación y Método del Ataque
PeckShield también reveló que la billetera del atacante fue financiada inicialmente a través de Tornado Cash, un servicio de mezcla de criptomonedas a menudo asociado con transacciones anónimas. La dirección recibió 1 ETH aproximadamente 14 horas antes de que ocurriera el exploit.
Otra empresa de seguridad en blockchain, GoPlus, sugirió que el exploit podría haber involucrado un defecto sofisticado en el sistema de validación de transacciones del puente. La firma declaró que el atacante aparentemente envió una transacción de bajo valor al contrato del puente antes de activar una función que permitió la transferencia por lotes de activos de reserva directamente a la billetera del drenador.
GoPlus agregó que el incidente podría estar vinculado a fallos en la validación de mensajes entre cadenas, vulnerabilidades de falsificación de firmas, eludir la lógica de retiro o debilidades en el control de acceso en la infraestructura del puente. Este tipo de vulnerabilidades se han convertido en objetivos muy comunes para los atacantes en finanzas descentralizadas, particularmente para los puentes entre cadenas que gestionan grandes pools de liquidez bloqueada.
Acerca de Verus
Verus, lanzado en 2018, es una red de blockchain centrada en la privacidad que opera utilizando un mecanismo de consenso híbrido de “prueba de poder”, combinando elementos de prueba de trabajo y prueba de participación. Su puente Ethereum fue introducido en octubre de 2023 y fue diseñado para permitir a los usuarios transferir y convertir activos entre el ecosistema de Verus y Ethereum.
