Attacco al Protocollo DeFi Verus
Gli investigatori hanno dichiarato che l’attaccante ha prosciugato asset tra cui tBTC, ETH e USDC, prima di scambiare i fondi rubati in ETH. I ricercatori di sicurezza hanno anche sottolineato che il portafoglio dell’attaccante è stato inizialmente finanziato tramite Tornado Cash poco prima che si verificasse l’exploit.
Dettagli dell’Exploit
Le aziende di sicurezza blockchain stimano che gli attaccanti abbiano già prosciugato circa 11,58 milioni di dollari in asset digitali. L’incidente è stato segnalato per la prima volta domenica sera dalla piattaforma di sicurezza on-chain Blockaid, che ha identificato attività sospette legate a un portafoglio dell’attaccante che inizia con “0x5aBb” e ha notato che i fondi rubati venivano conservati in un altro indirizzo che termina con “C25F9”.
I ricercatori di sicurezza di PeckShield hanno successivamente fornito ulteriori dettagli sull’attacco, affermando che il ponte Verus-Ethereum ha perso circa 103,6 tBTC, 1.625 ETH e 147.000 USDC durante l’exploit. Secondo l’azienda, l’attaccante ha rapidamente scambiato gli asset rubati in circa 5.402 ETH, valutati a circa 11,4 milioni di dollari ai prezzi di mercato attuali.
PeckShield ha anche rivelato che il portafoglio dell’attaccante è stato inizialmente finanziato tramite Tornado Cash, il servizio di mixing crypto spesso associato a transazioni anonime. L’indirizzo ha ricevuto 1 ETH circa 14 ore prima che si verificasse l’exploit.
Possibili Cause dell’Exploit
Un’altra azienda di sicurezza blockchain, GoPlus, ha suggerito che l’exploit potrebbe aver coinvolto un difetto sofisticato nel sistema di validazione delle transazioni del ponte. L’azienda ha dichiarato che l’attaccante apparentemente ha inviato una transazione a basso valore al contratto del ponte prima di attivare una funzione che ha consentito il trasferimento in blocco di asset di riserva direttamente al portafoglio del drainer.
GoPlus ha aggiunto che l’incidente potrebbe essere collegato a fallimenti nella validazione dei messaggi cross-chain, vulnerabilità di falsificazione delle firme, bypass della logica di prelievo o debolezze nel controllo degli accessi nell’infrastruttura del ponte. Questi tipi di vulnerabilità sono diventati obiettivi molto comuni per gli attaccanti nella finanza decentralizzata, in particolare per i ponti cross-chain che gestiscono grandi pool di liquidità bloccata.
Informazioni su Verus
Verus è stata lanciata nel 2018 ed è una rete blockchain incentrata sulla privacy che opera utilizzando un meccanismo di consenso ibrido “proof-of-power” che combina elementi di proof-of-work e proof-of-stake. Il suo ponte Ethereum è stato introdotto nell’ottobre del 2023 ed è stato progettato per consentire agli utenti di trasferire e convertire asset tra l’ecosistema Verus e Ethereum.
