Devido a uma vulnerabilidade crítica na ponte cross-chain Verus-Ethereum, os malfeitores conseguiram roubar ativos digitais no valor de $11,58 milhões. O ataque, registrado por empresas de análise como PeckShield e Blockaid, resultou na paralisação total da rede Verus, uma vez que a maioria dos nós de validação se desconectou da rede para evitar mais prejuízos.
O hacker esvaziou completamente as reservas líquidas do contrato inteligente da ponte, retirando ativos em três grandes transações. Logo após o hack, o hacker trocou todos os tokens e stablecoins roubados por 5.402 ETH (cerca de $11,4 milhões) através de agregadores descentralizados. Atualmente, toda a quantia está consolidada em um único endereço blockchain (0x65Cb...25F9), que está sob vigilância de empresas de segurança de ponta. O financiamento inicial da carteira do criminoso foi realizado através do misturador de criptomoedas Tornado Cash.
Essência técnica
De acordo com especialistas da Blockaid e CertiK, o ataque pertence à mesma classe de vulnerabilidades que afetou os gigantes Wormhole ($320 milhões) e Nomad ($190 milhões) em 2022.
Verificação bem-sucedida
A ponte verificou corretamente as assinaturas criptográficas (8 de 15 notários confirmaram o estado da rede), além de validar as confirmações Merkle do envio inter-rede.
Erro fatal
O contrato poderia aceitar solicitações falsas para importação de dados. O robô hacker enviou uma transação com um valor real mínimo, mas manipulou os dados de saída.
Falta de validação
A função checkCCEValues no contrato inteligente da ponte verificava a validade da mensagem, mas não conferia o valor real enviado na rede de origem com o valor de pagamento na rede de destino. A ponte simplesmente "acreditou" nas instruções do hacker e liberou milhões dos fundos de reserva.
Impacto pós-atualização
A situação se torna ainda mais curiosa porque, dois dias antes do incidente, os desenvolvedores da Verus lançaram uma atualização de segurança "crítica e obrigatória" para os nós, mas ou não fecharam essa vulnerabilidade, ou os operadores simplesmente não conseguiram sincronizá-la a tempo. Uma análise mais detalhada poderá ser feita após as primeiras informações disponíveis da investigação.