В результате критической уязвимости кроссчейн-моста Verus-Ethereum злоумышленники смогли украсть цифровые активы на сумму $11,58 миллиона. Атака, зафиксированная аналитическими компаниями PeckShield и Blockaid, привела к полной остановке сети Verus, так как большинство узлов валидации экстренно отключились от сети для предотвращения дальнейших убытков.
Хакер повністю спустошив ліквідні резерви смарт-контракту мосту, вивівши активи трьома великими транзакціями. Одразу після зламу хакер обміняв усі вкрадені токени та стейблкоїни на 5 402 ETH (близько $11,4 млн) через децентралізовані агрегатори. Наразі вся сума консолідована на одній блокчейн-адресі (0x65Cb...25F9), за якою стежать провідні безпекові фірми. Первинне фінансування гаманця зловмисника здійснювалося через криптоміксер Tornado Cash.
Технічна суть
За даними експертів Blockaid та CertiK, атака належить до того ж класу вразливостей, через які у 2022 році постраждали гіганти Wormhole ($320 млн) та Nomad ($190 млн).
Успішна перевірка
Міст коректно перевірив криптографічні підписи (8 з 15 нотаріусів підтвердили стан мережі), а також перевірив Merkle-підтвердження міжмережевого переказу.
Фатальна помилка
Контракт міг приймати підроблені запити на імпорт даних. Робот-хакер надіслав транзакцію з мінімальною реальною вартістю, але зманіпулював вихідними даними.
Відсутність валідації
Функція checkCCEValues у смарт-контракті мосту перевіряла валідність повідомлення, але не звіряла фактичну суму відправлення на вихідній мережі із сумою виплати на цільовій. Міст просто «повірив» інструкціям хакера і видав йому мільйони з резервів.
Удар після оновлення
Курйозу ситуації додає те, що за два дні до інциденту розробники Verus випустили «критичне та обов'язкове» оновлення безпеки вузлів, проте воно або не закривало цю вразливість, або оператори просто не встигли його синхронізувати. Більш детальний аналіз можна буде провести після перших доступних деталей розслідування.