Verus Ethereum hidat 11.58 millió dollárért kihasználták, a kutatók a láncok közötti validációs hiányosságra mutatnak rá
Röviden
A Blockaid egy 11.58 millió dolláros értékű, a Verus-Ethereum hidat célzó támadást azonosított, ami tovább növelte a láncok közötti biztonsági veszteségeket, mivel a támadók egy validációs hibát kihasználva ellopták az ETH, a tBTC és az USDC kriptovalutákat.
Web3 A Blockaid biztonsági platform arról számolt be, hogy a biztonsági rések tárházát kihasználó rendszerük egy folyamatban lévő támadást azonosított, amely a által üzemeltetett láncközi Ethereum hidat célozza meg. Verus, eddig körülbelül 11.58 millió dollár értékű vagyonnal.
Az elemzés szerint a feltételezett kiváltó ok hasonlít a korábban a 2022-es Wormhole bridge és Nomad bridge exploitok során megfigyelt sebezhetőségekhez, ahol eltérés mutatkozott a forráslánc értékkötelezettségei és a céllánc kifizetései között.
A nyomozók kijelentették, hogy a híd sikeresen ellenőrzött számos kriptográfiai komponenst, beleértve a közjegyző által hitelesített Verus államgyökeret, az érvényes közjegyzői aláírásokat, a láncok közötti export Merkle-bizonyítékait és a szerializált átutalásokhoz kapcsolódó hash-kötéseket. A rendszer azonban állítólag nem tudta megerősíteni, hogy a forrásláncon lévő export elegendő összeget, díjat vagy elégetett eszközt tartalmazott-e az Ethereumon végrehajtott kifizetések támogatásához.
A kutatók szerint a támadó egy nagyjából 0.02 VRSC értékű, alacsony értékű tranzakciót hozott létre, amely egy Verus Cross-Chain Exportot tartalmazott, amely kifizetési hash-re volt kreditálva, miközben a hozzá tartozó forrásoldali összegeket gyakorlatilag üresen hagyta. A protokoll állítólag érvényesként fogadta el a tranzakciót, és a közjegyzők ezt követően aláírták a kapott állapotgyökeret. A támadó ezután meghívta a submitImports() függvényt az Ethereumon egy szerializált átviteli hasznos adat felhasználásával, amelynek hash-e megegyezett a kreditált értékkel. Az ellenőrzés után a híd felszabadított 1,625 ETH, 103 tBTC és körülbelül 147 000 USDC értékű tartalékeszközöket. A becsült végrehajtási költség a VRSC tranzakciós díjai alapján körülbelül 10 dollár volt, míg a teljes bevétel körülbelül 11.58 millió dollárt tett ki.
A Blockaid hangsúlyozta, hogy az incidens nem ECDSA megkerüléshez, feltört közjegyzői kulcsokhoz, illetve elemzési vagy hash-kötési hibához köthető. Ehelyett a checkCCEValues folyamaton belüli hiányzó forrás-összeg validációs logikának tulajdonították a hibát, és a problémát egy viszonylag kis Solidity kódfrissítéssel potenciálisan orvosolhatónak nyilvánították.
A GoPlus biztonsági cég kijelentette, hogy a támadó egyetlen tranzakció során jelentős mennyiségű tartalékvagyont ürített ki a híd Ethereum oldaláról. Az elemzők megjegyezték, hogy a sérülékenység kihasználása a 2026-os évben több híddal kapcsolatos incidensben is megfigyelhető ismerős mintát követte, miután a korábbi, olyan projekteket érintő támadások, mint a Kelp DAO és a Hyperbridge, állítólag több százmillió dolláros kumulatív veszteséget okoztak az ágazatban.
A GoPlus szerint a támadó tárcája jelenleg körülbelül 5,402 ETH-t tartalmaz. A pénzeszközök állítólag még nem estek át mosáson, áthidaló eljáráson vagy széles körű terjesztésen, így nyitva áll a nyomon követés vagy a visszaszerzés lehetősége. A nyomozók hozzátették, hogy a sérülékenységet az váltotta ki, hogy a támadó egy alacsony értékű tranzakciót indított el, amely egy 0x8c49b257-ként azonosított szerződésfüggvényt hívott meg, majd ezt követően az áthidaló szerződés közvetlenül a támadó által ellenőrzött tárcába utalta a tartalékeszközöket. A megállapítások egy potenciális hibára utalnak, amely a láncok közötti üzenet-ellenőrzést, a kifizetések validálását vagy a hozzáférés-vezérlési mechanizmusokat érinti.
A PeckShield blokklánc biztonsági cég később arról számolt be, hogy a támadó címét kezdetben 1 ETH-val finanszírozták a Tornado Cash-en keresztül, körülbelül 14 órával a támadás előtt.
A Verus egyelőre nem kommentálta nyilvánosan az incidenst, és nem is figyelmeztette hivatalosan a felhasználókat a biztonsági réssel kapcsolatban.
A Verus Breach tovább növeli az emelkedést DeFi Biztonsági veszteségek
A Verus egy adatvédelemre összpontosító blokklánc-hálózat, amelyet 2018-ban indítottak el, és egy hibrid, a teljesítménybizonyításon alapuló konszenzusmodell alapján működik, amely ötvözi a munkabizonyítás és a tétbizonyítás mechanizmusait. 2023 októberében a projekt bevezette a Verus-Ethereum hidat, amelynek célja, hogy lehetővé tegye a felhasználók számára az eszközök átutalását és konvertálását a Verus ökoszisztéma és az Ethereum hálózat között.
A Verus hidat célzó támadás a hálózatláncok elleni infrastruktúrák elleni támadások szélesebb körű növekedése közepette történt. A PeckShield blokklánc-biztonsági cég jelentése szerint legalább nyolc nagyobb, híddal kapcsolatos biztonsági incidenst regisztráltak 2026 februárja és május közepe között, amelyek együttes veszteségét körülbelül 328.6 millió dollárra becsülték. Az adatok rávilágítanak a hálózatláncok közötti protokollok folyamatos kitettségére, amelyek továbbra is a decentralizált pénzügyek egyik leggyakrabban célzott szektorai közé tartoznak.
A Verus incidens számos más, az elmúlt napokban jelentett figyelemre méltó, híddal kapcsolatos támadást követett. Május 15-én a THORChain ideiglenesen felfüggesztette a kereskedési tevékenységét, miután egy többláncú támadás olyan hálózatokat érintett, mint a Bitcoin, az Ethereum, a BNB Chain és a Base. A kezdeti becslések szerint a veszteség valamivel meghaladta a 10 millió dollárt, miközben a nyomozók továbbra is figyelemmel kísérték az ellopott pénzeszközökhöz kapcsolódó címeket.
A TAC május 14-én egy külön incidenst hozott nyilvánosságra, amikor a láncközi infrastruktúrájának TON szegmensét állítólag feltörték. A projekt közlése szerint körülbelül 2.8 millió dollár értékű USDT, BLUM és tSTON eszközt ürítettek ki. A TAC hozzátette, hogy a TON-alapú eszközöket, a TAC eszközöket és az Ethereumról áthidalt ERC-20 tokeneket nem érintette a behatolás. A protokoll később felfüggesztette az áthidalási műveleteket, amíg a biztonsági csapatok kriminalisztikai vizsgálatot végeztek a támadás kivizsgálásával kapcsolatban.
Jogi nyilatkozat
Összhangban a A Trust Project irányelvei, kérjük, vegye figyelembe, hogy az ezen az oldalon közölt információk nem minősülnek jogi, adózási, befektetési, pénzügyi vagy bármilyen más formájú tanácsnak, és nem is értelmezhetők. Fontos, hogy csak annyit fektessen be, amennyit megengedhet magának, hogy elveszítsen, és kérjen független pénzügyi tanácsot, ha kétségei vannak. További információkért javasoljuk, hogy tekintse meg a szerződési feltételeket, valamint a kibocsátó vagy hirdető által biztosított súgó- és támogatási oldalakat. MetaversePost elkötelezett a pontos, elfogulatlan jelentéstétel mellett, de a piaci feltételek előzetes értesítés nélkül változhatnak.
A szerzőről
Alisa, a The MPost, kriptovalutákra, mesterséges intelligenciára, befektetésekre és a világ kiterjedt területére specializálódott Web3. Élénk szemmel figyeli a feltörekvő trendeket és technológiákat, ezért átfogó tájékoztatást nyújt, hogy tájékoztassa és bevonja olvasóit a digitális pénzügyek folyamatosan fejlődő világába.
További cikkek
Alisa, a The MPost, kriptovalutákra, mesterséges intelligenciára, befektetésekre és a világ kiterjedt területére specializálódott Web3. Élénk szemmel figyeli a feltörekvő trendeket és technológiákat, ezért átfogó tájékoztatást nyújt, hogy tájékoztassa és bevonja olvasóit a digitális pénzügyek folyamatosan fejlődő világába.
