Incident de sécurité majeur sur le protocole DeFi Verus
Les enquêteurs ont déclaré que l’attaquant a siphonné des actifs, notamment du tBTC, de l’ETH et de l’USDC, avant de convertir les fonds volés en ETH. Les experts en sécurité ont également souligné que le portefeuille de l’attaquant avait été initialement alimenté via Tornado Cash, peu avant que l’exploit ne se produise.
Le protocole DeFi Verus est apparemment confronté à un exploit majeur impliquant son pont Ethereum. Les entreprises de sécurité blockchain estiment que les attaquants ont déjà drainé environ 11,58 millions de dollars d’actifs numériques.
L’incident a été signalé pour la première fois tard dimanche par la plateforme de sécurité on-chain Blockaid, qui a identifié une activité suspecte liée à un portefeuille d’attaquant commençant par « 0x5aBb » et a noté que les fonds volés étaient stockés dans une autre adresse se terminant par « C25F9 ».
Les chercheurs en sécurité de PeckShield ont ensuite fourni plus de détails sur l’attaque, affirmant que le pont Verus-Ethereum avait perdu environ 103,6 tBTC, 1 625 ETH et 147 000 USDC pendant l’exploit. Selon la société, l’attaquant a rapidement échangé les actifs volés contre environ 5 402 ETH, d’une valeur d’environ 11,4 millions de dollars aux prix du marché actuels.
PeckShield a également révélé que le portefeuille de l’attaquant avait été initialement financé via Tornado Cash, un service de mixage de cryptomonnaies souvent associé à des transactions anonymes. L’adresse a reçu 1 ETH environ 14 heures avant que l’exploit ne se produise.
Une autre entreprise de sécurité blockchain, GoPlus, a suggéré que l’exploit pourrait impliquer un défaut sophistiqué dans le système de validation des transactions du pont. La société a déclaré que l’attaquant avait apparemment envoyé une transaction de faible valeur au contrat du pont avant de déclencher une fonction permettant le transfert en lot des actifs de réserve directement vers son portefeuille.
GoPlus a ajouté que l’incident pourrait être lié à des échecs de validation de messages inter-chaînes, à des vulnérabilités de falsification de signatures, à des contournements de logique de retrait ou à des faiblesses de contrôle d’accès dans l’infrastructure du pont. Ces types de vulnérabilités sont devenus des cibles très courantes pour les attaquants dans la finance décentralisée, en particulier pour les ponts inter-chaînes qui gèrent de grands pools de liquidités verrouillées.
À propos de Verus
Verus, lancé en 2018, est un réseau blockchain axé sur la confidentialité qui fonctionne avec un mécanisme de consensus hybride « proof-of-power », combinant des éléments de preuve de travail et de preuve de participation. Son pont Ethereum a été introduit en octobre 2023 et a été conçu pour permettre aux utilisateurs de transférer et de convertir des actifs entre l’écosystème Verus et Ethereum.
