Wegen einer kritischen Schwachstelle im Cross-Chain-Bridge von Verus-Ethereum ist es Angreifern gelungen, digitale Assets im Wert von $11,58 Millionen zu stehlen. Der Angriff, der von den Analyseunternehmen PeckShield und Blockaid dokumentiert wurde, führte zu einem kompletten Shutdown des Verus-Netzwerks, da die meisten Validierungs-Knoten sich hastig vom Netzwerk abtrennte, um weitere Verluste zu verhindern.
Der Hacker hat die liquiden Reserven des Smart Contracts der Brücke vollständig geleert, indem er Vermögenswerte in drei großen Transaktionen abgehoben hat. Unmittelbar nach dem Hack tauschte der Hacker alle gestohlenen Token und Stablecoins gegen 5.402 ETH (ca. $11,4 Millionen) über dezentrale Aggregatoren. Der gesamte Betrag wird derzeit auf einer einzigen Blockchain-Adresse (0x65Cb...25F9) konsolidiert, die von führenden Sicherheitsfirmen überwacht wird. Die anfängliche Finanzierung der Wallet des Angreifers erfolgte über den Krypto-Mixer Tornado Cash.
Technischer Kern
Laut den Experten von Blockaid und CertiK gehört der Angriff zur gleichen Kategorie von Schwachstellen, die 2022 die Giganten Wormhole ($320 Millionen) und Nomad ($190 Millionen) betroffen haben.
Erfolgreiche Verifizierung
Die Brücke hat die kryptografischen Signaturen korrekt überprüft (8 von 15 Notaren bestätigten den Zustand des Netzwerks) und auch die Merkle-Bestätigungen des Inter-Chain-Transfers überprüft.
Fatale Fehlermeldung
Der Vertrag konnte gefälschte Anfragen zum Import von Daten annehmen. Der Hacker-Roboter sendete eine Transaktion mit minimalem tatsächlichem Wert, manipulierte jedoch die Ausgangsdaten.
Fehlende Validierung
Die Funktion checkCCEValues im Smart Contract der Brücke überprüfte die Gültigkeit der Nachricht, verglich jedoch nicht den tatsächlichen Betrag der Überweisung im Ausgangsnetzwerk mit dem Betrag der Auszahlung im Zielnetzwerk. Die Brücke "glaubte" einfach den Anweisungen des Hackers und gab ihm Millionen aus den Reserven.
Schlag nach dem Update
Die Kuriosität der Situation wird dadurch verstärkt, dass die Entwickler von Verus zwei Tage vor dem Vorfall ein "kritisches und zwingendes" Sicherheitsupdate für die Knoten veröffentlicht haben, das jedoch entweder diese Schwachstelle nicht geschlossen hat oder die Betreiber einfach nicht in der Lage waren, es zu synchronisieren. Eine detailliertere Analyse wird nach den ersten verfügbaren Informationen aus der Untersuchung möglich sein.