Debido a una vulnerabilidad crítica en el puente cross-chain Verus-Ethereum, los atacantes lograron robar activos digitales por un total de $11,58 millones. El ataque, documentado por las firmas de análisis PeckShield y Blockaid, resultó en la detención total de la red Verus, ya que la mayoría de los nodos de validación se desconectaron de la red para evitar más pérdidas.
El hacker vació completamente las reservas líquidas del smart contract del puente, retirando activos en tres grandes transacciones. Justo después del hackeo, el hacker intercambió todos los tokens y stablecoins robados por 5,402 ETH (alrededor de $11.4 millones) a través de agregadores descentralizados. Actualmente, toda la suma está consolidada en una dirección de blockchain (0x65Cb...25F9), que está siendo monitoreada por las principales firmas de seguridad. La financiación inicial de la billetera del delincuente se realizó a través del cripto mezclador Tornado Cash.
Esencia técnica
Según los expertos de Blockaid y CertiK, el ataque pertenece a la misma clase de vulnerabilidades que afectaron a los gigantes Wormhole ($320 millones) y Nomad ($190 millones) en 2022.
Verificación exitosa
El puente verificó correctamente las firmas criptográficas (8 de 15 notarios confirmaron el estado de la red), así como la verificación de Merkle del traslado interred.
Error fatal
El contrato podía aceptar solicitudes fraudulentas para importar datos. El robot hacker envió una transacción con un costo real mínimo, pero manipuló los datos de salida.
Falta de validación
La función checkCCEValues en el smart contract del puente verificaba la validez del mensaje, pero no comparaba la cantidad real enviada en la red de origen con la cantidad de pago en el destino. El puente simplemente 'confió' en las instrucciones del hacker y le entregó millones de las reservas.
Golpe tras la actualización
La curiosidad de la situación es que, dos días antes del incidente, los desarrolladores de Verus lanzaron una actualización de seguridad 'crítica y obligatoria' para los nodos, pero o no cerró esta vulnerabilidad o los operadores simplemente no tuvieron tiempo para sincronizarla. Un análisis más detallado se podrá realizar tras los primeros detalles disponibles de la investigación.