Внаслідок критичної уразливості кросчейн-мосту Verus-Ethereum зловмисникам вдалося викрасти цифрові активи на суму $11,58 мільйона. Атака, зафіксована аналітичними компаніями PeckShield та Blockaid, призвела до повної зупинки мережі Verus, оскільки більшість вузлів валідації екстрено відключилися від мережі для запобігання подальшим збиткам.
Хакер повністю спустошив ліквідні резерви смарт-контракту мосту, вивівши активи трьома великими транзакціями. Одразу після зламу хакер обміняв усі вкрадені токени та стейблкоїни на 5 402 ETH (близько $11,4 млн) через децентралізовані агрегатори. Наразі вся сума консолідована на одній блокчейн-адресі (0x65Cb...25F9), за якою стежать провідні безпекові фірми. Первинне фінансування гаманця зловмисника здійснювалося через криптоміксер Tornado Cash.
Технічна суть
За даними експертів Blockaid та CertiK, атака належить до того ж класу вразливостей, через які у 2022 році постраждали гіганти Wormhole ($320 млн) та Nomad ($190 млн).
Успішна перевірка
Міст коректно перевірив криптографічні підписи (8 з 15 нотаріусів підтвердили стан мережі), а також перевірив Merkle-підтвердження міжмережевого переказу.
Фатальна помилка
Контракт міг приймати підроблені запити на імпорт даних. Робот-хакер надіслав транзакцію з мінімальною реальною вартістю, але зманіпулював вихідними даними.
Відсутність валідації
Функція checkCCEValues у смарт-контракті мосту перевіряла валідність повідомлення, але не звіряла фактичну суму відправлення на вихідній мережі із сумою виплати на цільовій. Міст просто «повірив» інструкціям хакера і видав йому мільйони з резервів.
Удар після оновлення
Курйозу ситуації додає те, що за два дні до інциденту розробники Verus випустили «критичне та обов'язкове» оновлення безпеки вузлів, проте воно або не закривало цю вразливість, або оператори просто не встигли його синхронізувати. Більш детальний аналіз можна буде провести після перших доступних деталей розслідування.