Инцидент с кражей активов в DeFi Verus
Следователи сообщили, что злоумышленник вывел активы, включая tBTC, ETH и USDC, прежде чем обменять украденные средства на ETH. Специалисты по безопасности также отметили, что кошелек злоумышленника был первоначально профинансирован через Tornado Cash незадолго до эксплуатации.
Протокол DeFi Verus столкнулся с серьезной уязвимостью, связанной с его мостом Ethereum.
Блокчейн-компании по безопасности оценивают, что злоумышленники уже вывели примерно 11,58 миллиона долларов в цифровых активах. Инцидент был впервые зафиксирован в воскресенье поздно вечером платформой безопасности Blockaid, которая выявила подозрительную активность, связанную с кошельком злоумышленника, начинающимся с 0x5aBb, и отметила, что украденные средства хранились на другом адресе, заканчивающемся на C25F9.
Исследователи безопасности из PeckShield позже предоставили больше деталей о нападении и заявили, что мост Verus-Ethereum потерял около 103,6 tBTC, 1,625 ETH и 147,000 USDC во время эксплуатации. По данным компании, злоумышленник быстро обменял украденные активы на примерно 5,402 ETH, стоимостью около 11,4 миллиона долларов по текущим рыночным ценам.
PeckShield также раскрыл, что кошелек злоумышленника был первоначально профинансирован через Tornado Cash, сервис смешивания криптовалют, часто ассоциируемый с анонимными транзакциями. Адрес получил 1 ETH примерно за 14 часов до эксплуатации.
Возможные причины уязвимости
Еще одна компания по безопасности блокчейна, GoPlus, предположила, что эксплуатация могла быть связана с серьезным дефектом в системе валидации транзакций моста. Компания заявила, что злоумышленник, по всей видимости, отправил транзакцию с низкой стоимостью на контракт моста, прежде чем активировать функцию, которая позволила пакетный перевод резервных активов непосредственно на кошелек дренажера.
GoPlus добавила, что инцидент может быть связан с сбоями в валидации межцепочечных сообщений, уязвимостями подделки подписей, обходами логики вывода или слабостями контроля доступа в инфраструктуре моста. Эти типы уязвимостей стали распространенными целями для злоумышленников в децентрализованных финансах, особенно для межцепочечных мостов, которые управляют большими пулами заблокированной ликвидности.
О протоколе Verus
Verus была запущена в 2018 году и является блокчейн-сетью, ориентированной на конфиденциальность, которая работает на основе гибридного механизма консенсуса «proof-of-power», сочетающего элементы proof-of-work и proof-of-stake. Ее мост Ethereum был представлен в октябре 2023 года и разработан для того, чтобы позволить пользователям передавать и конвертировать активы между экосистемой Verus и Ethereum.
