W wyniku krytycznej luki w zabezpieczeniach mostu między łańcuchami Verus-Ethereum, hakerzy zdołali wykraść cyfrowe aktywa o wartości $11,58 miliona. Atak, zarejestrowany przez firmy analityczne PeckShield i Blockaid, doprowadził do całkowitego zatrzymania sieci Verus, ponieważ większość węzłów weryfikacyjnych nagle odłączyła się od sieci, aby zapobiec dalszym stratom.
Haker całkowicie opróżnił płynne rezerwy smart kontraktu mostu, wyprowadzając aktywa trzema dużymi transakcjami. Tuż po włamaniu haker wymienił wszystkie skradzione tokeny i stablecoiny na 5 402 ETH (około 11,4 mln $) za pośrednictwem zdecentralizowanych agregatorów. Obecnie cała kwota jest skonsolidowana na jednym adresie blockchain (0x65Cb...25F9), który jest monitorowany przez wiodące firmy zajmujące się bezpieczeństwem. Początkowe finansowanie portfela przestępcy odbywało się przez kryptomikser Tornado Cash.
Aspekt techniczny
Według ekspertów Blockaid i CertiK, atak należy do tego samego typu luk, które w 2022 roku spowodowały straty u gigantów Wormhole ($320 mln) i Nomad ($190 mln).
Udana weryfikacja
Most poprawnie zweryfikował podpisy kryptograficzne (8 z 15 notariuszy potwierdziło stan sieci), a także sprawdził potwierdzenia Merkle między sieciami.
Fatalny błąd
Kontrakt mógł akceptować fałszywe zapytania o import danych. Robot-haker wysłał transakcję z minimalną realną wartością, ale zmanipulował danymi wyjściowymi.
Brak walidacji
Funkcja checkCCEValues w smart kontrakcie mostu weryfikowała ważność wiadomości, ale nie porównywała faktycznej kwoty wysyłki w sieci źródłowej z kwotą wypłaty w docelowej. Most po prostu "uwierzył" instrukcjom hakera i wypłacił mu miliony z rezerw.
Uderzenie po aktualizacji
Kuriozalna sytuacja polega na tym, że dwa dni przed incydentem, deweloperzy Verus wydali "krytyczną i obowiązkową" aktualizację bezpieczeństwa węzłów, jednak albo nie załatała ona tej luki, albo operatorzy po prostu nie zdążyli jej zsynchronizować. Szczegółowa analiza będzie możliwa po uzyskaniu pierwszych dostępnych informacji ze śledztwa.